关于https以及CA机构和颁发证书的问题?

关于https以及CA机构和颁发证书的问题?,第1张

您好!

本图描述了正常网站证书操作流程的图表:

CA机构向浏览器开发商颁发CA的根证书(在图表中白色的证书图形),开发商将CA机构的根证书放置于浏览器的一个证书信任列表里面。当用户下载该浏览器到自己的电脑里面,此时用户的浏览器会信任证书信任列表里面的任意CA证书签署的证书。

当一间公司希望它的网站可以通过HTTPS通信的时候,公司在CA机构购买一个网站证书(在图表中绿色的证书图形),由该CA机构签发的网站证书可以向用户确保网站的安全。

当用户需要浏览这一个安全网站的时候,浏览器首先向服务器请求证书,检查该证书的根证书是否在浏览器的证书信任列表里面并验证证书的签名是否正确,当检查无误的时候浏览器继续跟服务器建立HTTPS连接。

总结:上图主要是帮助理清客户端,网站,CA机构,浏览器之间的关系,以及他们之间的交互流程。

一次https建立连接的过程,即安全校验方面的,主要有两个目的:

验证所访问网站的合法性,杜绝钓鱼网站、黑网站

加密自己和该网站的传输数据,以防泄密、篡改、中间人问题

该过程具体描述如下:

1、浏览器将自己支持的一套加密规则发送给网站。 

2、网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构,以客户端公钥C_PuKey加密后通知到浏览器;

3、客户端通过私钥C_PrKey解密后,获得网站证书要做以下工作:

验证证书的合法性(证书本身是否伪造?颁发证书的机构是否合法?证书中包含的网站地址是否与正在访问的地址一致?)证书受信任,或者是用户接受了不受信的证书。否则拒绝访问,如果是,

4、从刚才回传的信息中获得服务器选择的加密方案,并随机选择一个通话密钥key,接着用服务器公钥S_PuKey加密后发送给服务器;

5、服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key, 接下来的数据传输都使用该对称密钥key进行加密。

详情:申请CA机构SSL证书参考流程图:网页链接

CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。(三)CA中心 CA中心为每一个使用公钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。 CA认证中心的数字签名技术使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡的消费人、商家发放证书,还对交易过程中所涉及到的银行、网关也发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书。(四)CA证书的种类CA中心发放的证书分为两类:SSL证书和SET证书。一般地说,SSL(安全套接层)证书是服务于银行对企业或企业对企业的电子商务活动的;而SET(安全电子交易)证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书,但它们的信任体系完全不同,而且所符合的标准也不一样。简单地说,SSL证书的作用是通过公开密钥证明持证人的身份。而SET证书的作用则是,通过公开密钥证明持证人在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。 用户想获得证书时,首先要向CA中心提出申请,说明自己的身份。CA中心在证实用户的身份后,向用户发出相应的数字安全证书。认证机构发放证书时要遵循一定的原则,如要保证自己发出的证书的序列号各不相同,两个不同的实体所获得的证书的主题内容应该相异,不同主题内容的证书所包含的公开密钥相异等。(五)CA证书的基本原理及功能?SSL 协议的握手和通讯为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:① 客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。② 服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。③ 客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。④ 用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的 CA 是否可靠,发行 CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。⑦ 服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。⑩ SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。CA中心主要职责是颁发和管理数字证书。其中心任务是颁发数字证书,并履行用户身份认证的责任。CA中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面,需要十分严格的政策和规程,要有完善的安全机制。另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施,对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。CA中心的证书审批业务部门则负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此,它应是能够承担这些责任的机构担任;证书操作部门(Certificate P-rocessor,简称CP)负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有授权者发放证书等,它可以由审核业务部门自己担任,也可委托给第三方担任。 (六)CA证书管理包括哪些方面工作CA 策略管理管理员可以指定 CA 管理策略,包括:根证书、个人证书、企业证书、服务器证书的密钥长度、有效期、是否备份等策略。(七)画图说明CA证书申请流程。(八)申请CA证书的用户导出证书的目的是什么?简要介绍导出的操作步骤1当普通的恢复失效时,数据恢复代理需要使用数据恢复密钥,以允许代理恢复加密数据。 因此,保护恢复密钥是非常重要的。有一种好方法可以防止丢失恢复密钥,那就是仅在需要时才将这些恢复密钥导入本地计算机。而在其他时候,您应将数据恢复代理的数据恢复证书和私钥导出,并以 .pfx 格式文件存储到安全的可移动介质。2 步骤 第一步,从IE中导出证书。点击IE菜单"工具",打开"Internet选项"对话框,选中"内容"页,点击"证书",弹出"证书"对话框,请您选择您要导出的证书,然后选择"导出"操作,您就可以根据"证书导出向导"操作完成证书导出了,请注意,"证书导出向导"第二步提示您"是否导出私钥?",请选择"是,导出私钥",成功导出证书后,您会得到一个以".pfx"结尾的文件。 第二步,导入证书到Webmail。在Webmail左帧选择"个人资料",然后在右帧点击"设置个人证书"。请点击"导入证书",在"上传证书"对话框中请浏览找到您在第一步操作中所导出的".pfx"文件,按"下一步",输入您在第一步的"证书导出向导"里要求您输入的秘匙保护密码,您可以选择"保存密码",以后查看加密邮件就不需要输入密码了。成功的话,Webmail将会显示证书的简略信息。有了个人证书,你就可以发送有你数字签名的信件了。

简单说证书就是经过发证银行签名的客户的私钥。

证书安装在你的机器上主要的就是用来对你的交易进行签名,按照《电子签名法》,经你的证书签名后的交易是不能抵赖的,所以一定要注意保证证书备份文件的安全,备份时是可以加密码的。

U盾里就是银行发给你的证书,由于不能被拷贝出来,所以安全性要高于文件证书。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/547724.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-27
下一篇2023-06-27

发表评论

登录后才能评论

评论列表(0条)

    保存