SSL证书以及其验证过程

最新推荐文章于 2024-04-28 17:04:45 发布
最新推荐文章于 2024-04-28 17:04:45 发布
阅读量4.5k 收藏 12
点赞数 1
文章标签: ssl https 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwe1765667234/article/details/124554074
版权

本文整理了SSL证书的一些知识,主要是对与整个证书链验证原理的介绍,不涉及具体的报文细节

SSL证书内容

SSL证书是通信过程中一方的身份证明,用来发送给通信的另一方来证实自己的身份。其内容主要包括一些与自身相关的信息和与证书相关的信息以及自己的公钥。

一些明文信息
自己的公钥
CA的数字签名

CA机构签名过程

CA机构对服务端进行验证后(CA有自己的验证方式,线上或者线下都有),对服务器的明文信息先进行hash,得到摘要,然后用自己的私钥对摘要进行加密,得到数字签名。将签名和证书一起发放给服务器。

证书链

现实中不可能所有的证书都是由少数几个CA签发的,那样CA就太忙了。因此产生了证书链,根CA发布证书给中间CA,中间CA再发布证书给各个服务器。验证的时候,从下往上,最终验证到根CA。

验证过程

假设有两个中间CA,CA1和CA2,整个证书链如下所示

根CA -》CA1 -》CA2 -》 服务器

那么此时,服务器发给客户端的证书链中不仅包含自己的证书,还要包含各个中间CA的证书,本例子中也即CA1和CA2以及服务器自己的证书。
客户端首先验证 CA2 ->服务器这一环,分为以下步骤:

  1. 从CA2的证书中,拿出CA2的公钥,对服务器证书中的CA2的签名进行解密。
  2. 对服务器证书中的明文信息进行hash,使用的hash算法与CA2所使用的hash算法一致。
  3. 对比前两步的结果,看其是否相等,若相等则验证通过。

验证通过后,客户端继续验证证书链的下一个环节,即 CA1 -> CA2,与上一个环节大同小异,分为以下步骤:

  1. 从CA1的证书中,拿出CA1的公钥,对CA2证书中的CA1的签名进行解密。
  2. 对CA2证书中的明文信息进行hash,使用的hash算法与CA1所使用的hash算法一致。
  3. 对比前两步的结果,看其是否相等,若相等则验证通过。

验证通过后,客户端继续验证证书链的最后一个环节,即 根CA -> CA1,注意第一步的不同之处:

  1. 从自己本地的缓存中,拿出根CA的公钥,对CA1证书中的根CA的签名进行解密。
  2. 对CA1证书中的明文信息进行hash,使用的hash算法与根CA所使用的hash算法一致。
  3. 对比前两步的结果,看其是否相等,若相等则验证通过。

至此证书验证过程结束。客户端本地会缓存一些少量的,全球都认可的根CA的证书,根CA的证书是自签名的,其中也会包含根CA的公钥。

无论有多少中间CA(零个或者多个),只要沿着证书链进行验证,每一个环节都验证通过的话,服务器就是可信的。其中有一个环节验证不通过,服务器就是不可信的。

关于SSL协议以及SSL证书还有很多内容,以后随着学习慢慢补充。

qwe1765667234
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android ssl证书验证
11-15
android ssl证书验证
SSL证书验证原理和https加密
赶路人儿
10-28 3107
SSL证书验证原理,以及https加密原理
ssl证书认证失败的原因和解决办法
a38417的博客
02-29 540
证书不受信任:如果服务器使用的SSL证书不是由受信任的证书颁发机构(CA)签发的,浏览器会将其视为不受信任的证书,从而阻止访问。证书链不完整:当浏览器检查SSL证书时,它会检查证书链的完整性。确认证书来源:确保服务器上的SSL证书是由受信任的CA签发的。完善证书链:确保服务器上的SSL证书具有完整的证书链。配置错误:服务器配置错误,如错误的证书文件路径或错误的密钥文件路径,也可能导致SSL证书认证失败。如果证书过期,需要更新证书证书过期:SSL证书有一定的有效期,一旦过期,就会导致认证失败。
ssl认证、证书】TLS/SSL双向认证概念、openssl genrsa/x509 示例、证书内容
m0_45406092的博客
02-08 2833
ssl
https你很熟?灵魂三连问之https安全在哪里?客户端如何验证https证书的合法性?ssl是如何加密数据的?
qq_39962403的博客
08-17 412
如果你用的是ca机构发给你的pem和key,那么ca认为证书就是合法的,如果是你自己生产的证书,那么ca就认为你是不安全的,浏览器就会提示你。前面我们说过,在传输之前,我们需要用公钥对数据加密,但是公钥是明文传输的,那么可能就会出现如下图的情况,中间人对客户端伪装成服务端,对服务端又伪装成客户端,客户端和服务端都以为已经拿到了对方的公钥,对数据加密传输了,而其实用的却是中间人的公钥,那中间人自然可以加密解密,窃取,篡改了。那么ssl/tls是怎么解决上面我们说的,被窃听,被篡改,被伪造的问题的呢?
ssl单向证书和双向证书校验测试及搭建流程
十三阿哥的博客
08-01 1875
【代码】ssl单向证书和双向证书校验测试及搭建流程。
客户端认证https服务端证书过程详解——证书
热门推荐
huzhenv5的博客
02-29 1万+
文章目录基本概念证书CASigning & Verification证书链实例CA组织end-user certificates & intermediates certificatesroot certificates其他 基本概念 证书 首先,我们看看在wikipedia上对证书的定义,In cryptography, a public key certificate (als...
一文读懂,SSL证书怎么做验证
tooyoung_wh的博客
08-30 380
主要是指用户在填写完信息后,提交过后,SSL证书签发系统会生成一个验证值,用户按照要求建立一个文本文档,然后上传到服务器的指定位置下,证书签发系统在验证通过后就会签发证书。选择服务器文件验证方式的用户,在使用前必须要有服务器的管理权限,如果没有管理权限,无法上传文件,那么证书是无法签发的,只能更换其他验证方式。除了以上的DV证书,除此之外还有OV证书和EV证书,这两种证书验证更加严格。一张SSL证书的获取,需要经历不少环节,其中比较重要的一点就是,SSL证书的签发需要验证通过后才能签发。
站长百科:如何验证ssl证书
05-02 330
检查部署此SSL证书的网站的域名是否与证书中的域名一致,如果不一致,则浏览器也会显示警告信息:“此网站出具的安全证书是为其他网站地址颁发的。检查SSL证书中的证书吊销列表,如果已经被吊销,浏览器则会显示警告信息:“此组织的证书已被吊销。如果网站部署的SSL证书不是浏览器受信任的根证书颁发机构,则会有安全警告,建议关闭此网页,并且不要继续浏览该网站。当我们在访问有安全证书的网站时,浏览器会自动下载该网站的SSL证书,并对证书的安全性进行检查。检查SSL证书是否由浏览器中“受信任的根证书颁发机构”颁发。
Java SSL/TLS证书认证逻辑
fenglllle的博客
10-21 1500
实际上证书的认证就是链式认证,加入根证书链,因为根证书是信任的,CA机构是认可的,那么CA颁发的根证书是信任的,经常报道的Chrome移除xxx机构颁发的根证书,表示这些证书链下的证书不信任了,毕竟公钥和私钥任何证书都能生成,证书链也可以仿造。
证书链-证书校验
大力海棠的博客
02-03 8537
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
SSL双向认证证书制作过程流程
07-07
SSL双向认证证书制作过程流程
Tomcat双向认证SSL证书
08-16
个人学习笔记,markdown风格,记录Tomcat双向认证SSL证书过程
httpClient实例httpClient调用 http/https实例 忽略SSL验证
03-30
以上自己测试是可行的,直接拿过去导入即可,直接用main
详解Nginx SSL快速双向认证配置(脚本)
01-11
这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案。 注: 本方案在Ubuntu Server 16.04 LTS实施,其他操作系统请酌情修改 SSL双向认证 绝大多数SSL应用都以...
网络攻击近在咫尺:数据加密与SSL成为信息安全之盾
网络安全服务提供商
04-25 402
对于个人用户而言,定期更新操作系统和软件,安装杀毒软件,避免访问可疑网站和下载未知来源的文件是基本的安全防护措施。企业可以建立完善的数据加密机制,对重要数据进行加密存储和传输,以防止数据泄露和非法访问。同时,在企业的网络架构中,采用SSL协议进行数据传输,可以确保企业内部通信和外部交易的安全性,减少网络攻击的风险。此外,在工业控制系统领域,网络攻击可能导致严重的后果。通过对敏感数据进行加密处理,我们可以确保数据在传输和存储过程中的安全性和完整性,即使数据被截获,攻击者也无法解密获取其中的内容。
GMSSL编译iOS
最新发布
smile_po的博客
04-28 632
一、GMSSL-2.x 国密SDK源码下载
Nginx 配置 SSLHTTPS)详解
小楼一夜听春雨,深巷明朝卖杏花
04-25 969
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
Centos7升级openssl到openssl1.1.1
weixin_43824520的博客
04-28 63
【代码】Centos7升级openssl到openssl1.1.1。
请问ssl证书详细过程
03-07
SSL证书的详细过程包括以下几个步骤: 1. 申请证书:用户向证书颁发机构(CA)提交证书申请,包括证书类型、域名、公司信息等。 2. 验证身份:CA会对申请者的身份进行验证,以确保证书的真实性和可信度。 3. 生成证书:CA根据申请者提供的信息生成证书,并使用自己的私钥对证书进行签名。 4. 安装证书:用户将证书安装到自己的服务器上,并配置服务器以使用证书。 5. SSL握手:当用户访问网站时,服务器会向用户发送证书,用户会验证证书的真实性,并与服务器进行SSL握手,以建立安全连接。 6. 数据传输:SSL连接建立后,用户和服务器之间的数据传输会被加密,以确保数据的安全性和保密性。 以上就是SSL证书的详细过程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值