当您收到SSL证书时,您将其安装在您的服务器上。您可以安装一个中间证书,通过将它链接到CA的根证书来建立您的SSL证书的可信度。
根证书是自签名的,构成了基于X.509的公钥基础设施(PKI)的基础。支持用于安全Web浏览和电子签名方案的HTTPS的PKI依赖于根证书。在X.509证书的其他应用程序中,证书的层次结构证明了证书的颁发有效性。该层次结构称为证书“信任链”。
TLS/SSL的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息,并颁发认证"证书",同时能够为使用者提供证书验证服务,即PKI体系。
基本的原理为,CA负责审核信息,然后对关键信息利用私钥进行"签名",公开对应的公钥,客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下:
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)