一、pki搭建
二、證書啟用
向ca傳送證書製作申請後,證書製作完成後怎麼交付給客戶使用呢?有一種方式是軟證書,返回pfx標準格式的數字證書,匯入到客戶系統以供需要時選擇使用。軟證書是以檔案形式儲存的,並且可以標記允許再次匯出,硬證書則是以ukey移動裝置為載體,儲存私鑰和數字證書。
證書啟用是指證書從ca製作出來到交付給客戶以供使用的過程,軟證書使用比較簡單,一般ca在製作出證書會返回pfx標準格式的證書,只需要安裝到系統。ukey硬證書則需要將私鑰和數字證書匯入到裝置中,由於涉及到私鑰安全保護,ukey寫入證書私鑰時會使用加解密,ukey證書啟用過程一般包括裝置連線、驗證pin碼、初始化匯出公鑰、寫入資料,整個流程如下圖所示。
三、身份認證
數字證書寫入到ukey中怎麼用?一般ukey裝置廠商會提供api,另外還需要有相應的驅動程式,可以讓系統識別到ukey移動裝置,提供相應的加解密簽名介面,如讀取ukey序列號、讀取加密簽名證書、簽名等,禁止直接讀取私鑰,並有相應安全策略保護。
通過ukey簽名可以實現身份認證,因為ukey中包含的私鑰就只有指定身份才能持有,拿使用ukey數字簽名登入後台為例,首先插入ukey裝置,然後簽名隨機生成的驗證碼,得到簽名資料,再輸入使用者名稱一起提交到後台,後台先做驗證碼正確性檢查,然後再通過使用者名稱查詢定位資料庫中的使用者簽名證書記錄,使用使用者的簽名證書對使用者傳過來的簽名資料進行驗籤,如果驗證通過則證明是對應的使用者,從而實現身份認證過程。這種方式比傳統的口令認證更安全,甚至可以不需要使用者名稱就可以登入驗證,使用者名稱是可以儲存在數字證書資訊中的,並且證書的序列號在同個ca中也是唯一的。身份認證實現的基本流程如下。
ukey裝置身份認證為作為可隨身攜帶的智慧型密碼鑰匙,比使用軟證書更安全快捷。ukey裝置只是儲存數字證書的一種介質,私鑰在裝置裡是牢牢保護的,使用者只需要保護好裝置的使用安全,就可以達到更安全的目的。
SSL,HTTPS,數字證書
ssl https secure hypertext transfer protocol 安全超文字傳輸協議 它是由netscape開發並內置於其瀏覽器中,用於對資料進行壓縮和解壓操作,並返回網路上傳送回的結果。https實際上應用了netscape的完全套接字層 ssl 作為http應用層的子層。...
SSL 數字證書
secure 可靠的.安全的 socket 座 layer 層 ssl 協議 ssl 是乙個安全協議,它提供使用 tcp ip 的通訊應用程式間的隱私與完整性。網際網路的 超文字傳輸協議 http 使用 ssl 來實現安全的通訊。由於ssl技術已建立到所有主要的瀏覽器和web伺服器程式中,因此,伺服...
數字證書原理
概念介紹 對稱加密演算法 加密和解密使用同乙個金鑰。非對稱加密演算法 加密和解密使用的金鑰不是同乙個。典型的如rsa 公鑰加密演算法 擁有一對金鑰,公鑰和私鑰,用私鑰進行解密和數字簽名,用公鈅來進行加密及驗證簽名。encryption 加密 decryption 解密 asymmetric 非對稱 ...