申請的過程大致是:
1.自己本地先生成一對密匙,然後拿著自己的公匙以及其他資訊(比如說企業名稱啊什麼的)去ca申請數字證書。
2.ca在拿到這些資訊後,會選擇一種單向hash演算法(比如說常見的md5)對這些資訊進行加密,加密之後的東西我們稱之為摘要。
單向hash演算法有一種特點就是單向不可逆的,只要原始內容有一點變化,加密後的資料都將會是千差萬別(當然也有很小的可能性會重複,有興趣的小夥伴鴿巢原理了解一下),這樣就防止了資訊被篡改。
3.生成摘要後還不算完,ca還會用自己的私匙對摘要進行加密,摘要加密後的資料我們稱之為數字簽名。
4.最後,ca將會把我們的申請資訊(包含伺服器的公匙)和數字簽名整合在一起,由此而生成數字證書。然後ca將數字證書傳遞給我們。
數字證書怎麼起作用呢?
伺服器在獲取到數字證書後,伺服器會將數字證書傳送給客戶端,客戶端就需要用ca的公匙解密數字證書並驗證數字證書的合法性。
那我們如何能拿到ca的公匙呢?我們的電腦和瀏覽器中已經內建了一部分權威機構的根證書,這些根證書中包含了ca的公匙。
之所以是根證書,是因為現實生活中,認證中心是分層級的,也就是說有頂級認證中心,也有下面的各個子級的認證中心,是乙個樹狀結構,計算機中內建的是最頂級機構的根證書,不過不用擔心,根證書的公匙在子級也是適用的。
客戶端用ca的公匙解密數字證書,如果解密成功則說明證書**於合法的認證機構。解密成功後,客戶端就拿到了摘要。
此時,客戶端會按照和ca一樣的hash演算法將申請資訊生成乙份摘要,並和解密出來的那份做對比,如果相同則說明內容完整,沒有被篡改。
最後,客戶端安全的從證書中拿到伺服器的公匙
就可以和伺服器進行安全的非對稱加密通訊了。伺服器想獲得客戶端的公匙也可以通過相同方式。
數字證書申請流程
數字證書 雙證申請流程 first 使用者到 ra 中心申請證書 next usbkey生成簽名金鑰對,同時產生 csr 檔案並傳送給ra next ra 將使用者資訊以及 csr 檔案傳送給 ca next ca 向kmc請求加密金鑰,並傳送簽名公鑰 next kmc 生成乙個對稱加密金鑰和一對非...
商標數字證書申請
商標 機構要成為商標局商標網上申請系統使用者的,應當申請 商標數字證書 即 應當先申請國家工商行政管理總局經濟資訊中心頒發的 商標數字證書 申請 商標數字證書 的,視為同意遵守 工商總局數字證書申請責任書 及其他有關規定,視為承認該 商標數字證書 電子簽名的法律效力。數字證書持有人應當妥善保管數字證...
HTTPS系列之CA數字證書
pki public key infrastructure 公鑰基礎設施 遵循標準的利用公鑰加密技術提供一套安全基礎平台的技術和規範。支援公鑰管理並能支援認證,加密,完整性和可追究性服務的基礎設施 完整的pki系統具有 ca,數字證書庫,金鑰備份及恢復系統,證書作廢系統,應用介面。from baik...