在進行金鑰協商的時候,無法確定對方的身份,問題的根源就在於,大家都可以生成公鑰、私鑰對,無法確認金鑰對到底是誰的。此時就需要比較權威的機構進行認證,這就是數字證書。
乙個證書包含下面的具體內容:
在證書的發布機構發布證書時,證書的指紋和指紋演算法,都會加密後再和證書放到一起發布,以防有人修改指紋後偽造相應的數字證書。這裡問題又來了,證書的指紋和指紋演算法用什麼加密呢?他們是用證書發布機構的私鑰進行加密的。可以用證書發布機構的公鑰對指紋和指紋演算法解密,也就是說證書發布機構除了給別人發布證書外,他自己本身也有自己的證書。這個證書發布機構的數字證書(一般由他自己生成)在我們的作業系統剛安裝好時(例如windows 7等作業系統),這些證書發布機構的數字證書就已經被微軟(或者其它作業系統的開發機構)安裝在作業系統中了,微軟等公司會根據一些權威安全機構的評估選取一些信譽很好並且通過一定的安全認證的證書發布機構,把這些證書發布機構的證書預設就安裝在作業系統裡面了,並且設定為作業系統信任的數字證書。這些證書發布機構自己持有與他自己的數字證書對應的私鑰,他會用這個私鑰加密所有他發布的證書的指紋作為數字簽名。
3.1跟伺服器tcp連線
3.2伺服器傳送證書給瀏覽器
a. signedcertificate
版本、序列號(ca據次確定證書)、簽名的演算法
頒發者(ca)的可識別名稱: countryname, statename, localityname,
organizationunit, organizationname, commonname(有效的 dns 名稱)
有效期;
證書所有者(subjects): organizationunit, organizationname, commonname
證書所有者加密演算法及公鑰;
擴充套件b. algorithmid: 證書的簽名演算法
c. encrypteddata: 證書簽名值,ca對證書簽名後的值,結合ca的私鑰,使用algorithmid對應的演算法生成。
3.3瀏覽器如何驗證
瀏覽器根據證書的ca的公鑰,對證書簽名部分解密,解密成功則證書是ca頒發的。
參考:
關於金鑰和數字證書
前些天逛技術網,偶爾看到一篇國外關於金鑰的通俗易懂的詳解文章,當時對具體的細節還是有點模糊搞不清楚,so昨天惡補了一下,今天簡單整理一下自己的收穫,以備以後回顧。1.鮑勃有兩把鑰匙,一把是公鑰,另一把是私鑰。2.鮑勃把公鑰送給他的朋友們 帕蒂 道格 蘇珊 每人一把。3.蘇珊給鮑勃寫信,寫完後用鮑勃的...
金鑰 數字簽名 數字證書
公鑰和私鑰是非對稱密碼學中的概念。他們的特點是用公鑰加密的密文只能用私鑰解密,用私鑰加密的密文只能用公鑰解密。在通訊過程中,私鑰由伺服器持有,不可外洩,公鑰則通過http傳送給客戶端。伺服器傳送經過私鑰加密的密文給客戶端,客戶端可以通過公鑰解開密文 客戶端傳送經過公鑰加密的密文給伺服器,伺服器通過私...
數字證書的概念
數字證書的概念 數字證書 ca 認證中心 數字簽名 密碼技術 數字摘要 在現實生活中,人們所從事的活動主體憑證一般有以下幾種 1 當事人本身,2 有效證件,3 親筆簽名,等等。這些憑證的共有特點是實物性,可以得到確認和追訴。而在internet的世界裡,人們所面對和處理的都是數位化的資訊或資料,對在...