pki(public key infrastructure)公鑰基礎設施
「遵循標準的利用公鑰加密技術提供一套安全基礎平台的技術和規範。支援公鑰管理並能支援認證,加密,完整性和可追究性服務的基礎設施「ca(certificate authority),數字證書認證機構「完整的pki系統具有 ca, 數字證書庫,金鑰備份及恢復系統,證書作廢系統,應用介面。「 –from baike
ca負責簽發和管理證書
證書庫:ca辦法的證書和撤銷證書
證書的撤銷: 證書撤銷列表(crl)
數字證書
數字證書就是乙個公鑰,乙個ca對證書資訊的簽名,附加一些資訊。
從下圖中可以獲取幾點資訊:
1. ca的組織結構: 樹形,最頂層為根ca(根證書比較特殊,是自簽發),根ca可以授權多個中級ca,中級ca可以授權證書。
2. 證書是有有效期限的,也就是會過期,但pki提供一種機制解決金鑰更新帶來的複雜性和馬反省,會在過期前的一段時間間隔裡啟動程式自動更新證書。
證書內容進行雜湊生成訊息摘要
使用ca私鑰加密生成數字簽名
對證書內容雜湊生成訊息摘要;
從簽發該證書的機構獲取公鑰(ca公鑰),進行驗籤,如果跟證書內容進行雜湊生成的值相同則驗籤成功,證書未被篡改。
問題:
1. 如何從簽發該證書的機構獲取公鑰;
2. 如何遞迴驗證,直到根ca。
證書中的數字簽名是對證書內容雜湊後使用ca私鑰進行簽名的,公共金鑰則是證書申請者提供開放給所有人的公鑰。
ios安全系列之一:https
**ca證書
數字證書與https協議
數字證書電子證書,類似於日常生活中的身份證,也是另外一種形式的身份認證,用於標識網路中的用於身份。數字證書集合了多種密碼學的加密演算法,證書自身帶有公鑰資訊,可以完成相應的加密 解密操作。同時,還擁有自身資訊的數字簽名,可以鑑別證書的頒發機構,以及證書內容的完整性。配置tomcat使用https協議...
數字證書理解(CA證書簽名原理)
為了防止中間人攻擊和釣魚 對稱金鑰體系 對稱加密 和非對稱金鑰體系 非對稱加密 都提供2份秘鑰。公鑰私鑰是概念上的,發布出去的為公鑰,留在手上的為私鑰,實質上不存在公私鑰區別。特殊的 在實際操作中,生成rsa 特別的 一種加密方式 金鑰時會有兩個秘鑰,其中乙份包含另乙份的完整資訊 此時預設命名為私鑰...
數字簽名 數字證書與CA
上週,有同事給我們介紹了什麼是數字證書及其工作原理,於是我決定結合自己的理解把這個原理記錄下來。在我們上網的時候,為了防止我們的資訊被某些釣魚 擷取,所以我們在與對方進行通訊的時候,需要驗證對方的身份。那麼如何驗證對方的身份是真實可靠的呢,就需要對方能夠提供數字證書,而且該證書能夠被驗證是權威的ca...