額,以下是我自己寫的,寫完之後有點迷茫的是,為什麼要認證,如果有大牛路過求告知....我周四去問問蔡國揚....我個人理解,ca就是通訊網路裡的管理員,a想和b通訊,但是b不確定a靠譜不靠譜,所以a請求與b通訊的時候,向ca發出csr請求得到認證,管理員將證書發給b,b檢查通過之後,發現a靠譜,然後再通訊
另外推薦一篇深度好文啊,簡明易懂
(x.509有簡單認證和強認證,以下為x.509的強認證的認證流程)
假設有成員:
傳送方a
中間方ca(certificate authority)
接收方b
(假設a, b都由同乙個ca簽署證書,意味著共享的公鑰,能夠解密ca的私鑰)
step1:
a 發出和b的通訊請求;同時向ca發出csr certificate signing request
step2:
a使用者的基本資訊,我們記為ma;
ma= a的身份標識(ida)+ a的公鑰(pka)+ ca相關資料;
ca的私鑰skca;
ca 將ma用單向加密函式生成摘要值,我們暫且以hash函式h為例,得到h(ma);
然後ca將以上結果用skca加密之後生成 [ h(ma)] ca;
生成證書,
證書 = hash函式h + [ h(ma)] ca + ma
step 3:
ca將證書傳送給b;
ca的公鑰為pbca;
b得到證書之後,先檢查證書的有效期,通過查詢ca的證書廢棄表 (crl);
如果有效,通過pbca把[ h(ma)] ca解密之後得到h(ma);
然後b將證書中的ma用證書中的h加密之後得到h(ma)『;
如果h(ma)『== h(ma),即a通過認證。
X 509標準簡介
伺服器ssl數字證書和客戶端單位數字證書的格式遵循 x.509 標準。x.509 是由國際電信聯盟 itu t 制定的數字證書標準。為了提供公用網路使用者目錄資訊服務,itu 於 1988 年制定了 x.500 系列標準。其中 x.500 和 x.509 是安全認證系統的核心,x.500 定義了一種...
X 509證書校驗
x.509證書校驗 這裡討論openssl 中如何應用 crls 和來自證書體系的其他證書來進行證書校驗。為此需要使用 x.509 包的功能函式。ssl協議實現已經處理了很多這裡將要討論的東西,即使如此,一些工作還是需要我們親歷親為,特別是當我們希望在證書校驗過程中使用 crls 的校驗,大部分情況...
X 509標準簡介
伺服器ssl數字證書和客戶端單位數字證書的格式遵循 x.509 標準。x.509 是由國際電信聯盟 itu t 制定的數字證書標準。為了提供公用網路使用者目錄資訊服務,itu 於 1988 年制定了 x.500 系列標準。其中 x.500 和 x.509 是安全認證系統的核心,x.500 定義了一種...