要想弄明白ssl認證原理,首先要對ca有有所了解,它在ssl認證過程中有非常重要的作用。說白了,ca就是乙個組織,專門為網路伺服器頒發證書的,國際知名的ca機構有verisign、symantec,國內的有globalsign。每一家ca都有自己的根證書,用來對它所簽發過的伺服器端證書進行驗證。
如果伺服器提供方想為自己的伺服器申請證書,它就需要向ca機構提出申請。伺服器提供方向ca提供自己的身份資訊,ca判明申請者的身份後,就為它分配乙個公鑰,並且ca將該公鑰和伺服器身份繫結在一起,並為之簽字,這就形成了乙個伺服器端證書。
如果乙個使用者想鑑別另乙個證書的真偽,他就用 ca 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。證書實際是由證書簽證機關(ca)簽發的對使用者的公鑰的認證。
證書的內容包括:電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循x.509 國際標準。
下圖使用xca工具模擬ca來進行製作證書:ca.crt是ca的根證書,server.p12是伺服器端證書,client.p12是客戶端證書。
正規的做法:
建立ssl連線時,先是伺服器將自己的伺服器證書發給客戶端,驗證通過後,客戶端就把自己的客戶端證書發給伺服器進行驗證,如果客戶端證書和伺服器證書都是通過同一家ca頒發的,那麼驗證一定會通過,通過後再進行後面的處理。
客戶端安裝ca根證書ca.crt到客戶端信任證書庫中,伺服器端安裝ca根證書ca.crt到伺服器信任證書庫中。
ssl握手時,伺服器先將伺服器證書server.p12發給客戶端,客戶端會到客戶端信任證書庫中進行驗證,因為server.p12是根證書ca頒發的,所以驗證通過;
然後客戶端將客戶端證書client.p12發給伺服器,同理因為client.p12是根證書ca頒發的,所以驗證通過。
SSL雙向認證和單向認證原理
一 公鑰私鑰 1,公鑰和私鑰成對出現 2,公開的金鑰叫公鑰,只有自己知道的叫私鑰 3,用公鑰加密的資料只有對應的私鑰可以解密 4,用私鑰加密的資料只有對應的公鑰可以解密 5,如果可以用公鑰解密,則必然是對應的私鑰加的密 6,如果可以用私鑰解密,則必然是對應的公鑰加的密 2,用私鑰加密資料 數字簽名 ...
ssl雙向認證
ssl雙向認證 ca.key 根證書的私鑰 ca.crt 根證書的簽名證書 server.key,server.crt client.key,client.crt 1 openssl ca.key,ca.crt 2 openssl server.key server.csrserver.crt 3 ...
SSL單向 雙向認證
引用 http cbwdkpl.blog.163.com blog static 453293822009814111320789 單向認證 客戶端向伺服器傳送訊息,伺服器接到訊息後,用伺服器端的金鑰庫中的私鑰對資料進行加密,然後把加密後的資料和伺服器端的公鑰一起傳送到客戶端,客戶端用伺服器傳送來的...