• CA数字证书


    CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
    CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。
    如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
    如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。


    证书
    证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
    证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509国际标准。
    加密:
    我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。

    解密:
    我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。

    如何在电子文档上实现签名的目的呢?我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:
    信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。

    在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些HASH函数的特殊要求是:

    1.接受的输入报文数据没有长度限制;
    2.对任何输入报文数据生成固定长度的摘要(数字指纹)输出;
    3.从报文能方便地算出摘要;
    4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;
    5.难以生成两个不同的报文具有相同的摘要。

    验证:
    收方在收到信息后用如下的步骤验证您的签名:

    1.使用自己的私钥将信息转为明文;
    2.使用发信方的公钥从数字签名部分得到原摘要;
    3.收方对您所发送的源信息进行hash运算,也产生一个摘要;
    4.收方比较两个摘要,如果两者相同,则可以证明信息签名者的身份。

    如果两摘要内容不符,会说明什么原因呢?
    可能对摘要进行签名所用的私钥不是签名者的私钥,这就表明信息的签名者不可信;也可能收到的信息根本就不是签名者发送的信息,信息在传输过程中已经遭到破坏或篡改。

    数字证书:

    答:数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
    使用数字证书能做什么?
    数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
    在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。


    认证、数字证书和PKI解决的几个问题?


    保密性-只有收件人才能阅读信息。
    认证性-确认信息发送者的身份。
    完整性-信息在传递过程中不会被篡改。
    不可抵赖性-发送者不能否认已发送的信息。

    https流程中

    首先是三次握手建立TCP连接。

    TCP三次握手,建立连接

    服务端向客户端发送证书。

    客户端收到证书,将证书上的CA根证书与操作系统内置的CA根证书匹配。

    如果匹配失败,说明证书不合法。

    客户端进行哈希压缩证书的第一部分得到一段字符。

    客户端使用浏览器内置的 CA公钥 解密第二部分,获得一段字符。

    两段字符对比,如果相同没有问题。

    如果不同,可能证书被修改过或者不是使用CA公钥加密的。以上一套流程是保护CA证书本身的。

    客户端生成随机对称密钥,使用服务端的公钥给这个密钥加密,发送给服务端。

    然后通过客户端生成的对称密钥进行http通信。

    所以在https中CA证书的作用是确认网站合法

  • 相关阅读:
    一种基于最大相关熵和局部约束的协同表示分类器
    基于径向基函数 (RBF) 神经网络的麦基格拉斯时间序列预测(Matlab代码实现)
    Linux:文件权限管理小案例1:警察和土匪游戏
    数据结构 ----- 插值查找
    FA18# 中间件稳定性治理内容提点
    101. 对称二叉树
    国外调查问卷项目赚美金是真的吗?
    Springboot容器化设置堆内存大小
    Java培训课程AOP术语
    新闻管理系统设计与实现
  • 原文地址:https://blog.csdn.net/weixin_57321519/article/details/125885595