SSL数字证书基本概念

CA机构

CA机构,即证书授权中心(Certificate Authority)或称证书授权机构。CA认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥合法性检验的责任。

SSL证书和SSL协议

安全套接层SSL(Secure Sockets Layer)协议是一种可实现网络通信加密的安全协议,可在浏览器和网站之间建立加密通道,保障数据在传输的过程中不被篡改或窃取。

数字证书是一个经权威授权机构数字签名,包含公开密钥的拥有者信息以及公开密钥的文件,是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、证书名称以及证书授权中心的数字签名。

SSL证书采用SSL协议进行通信,是由权威机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。SSL证书指定了在应用程序协议(例如,HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性分层的机制。

它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL证书采用公钥体制,即利用一对互相匹配的密钥对进行数据加密和解密。每个用户自己设定一把特定的、仅为本人所知的私有密钥(私钥),并用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。

SSL证书部署到Web服务器后,您通过Web服务器访问网站时将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助您的Web服务器和客户端浏览器间建立可信的加密链接,从而保证网络数据传输的安全。

什么是根证书?

根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。每个浏览器都有根证书库,有的浏览器是采用自主的根证书库,而一些浏览器则使用第三方的根证书库。根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书。

受信任的根证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。

什么是中间证书?

CA机构不会直接使用根证书签发服务器证书(即SSL证书),因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。

因此,为了避免这种风险发生,CA机构一般会引用中间证书。CA机构使用其私钥对中间证书进行签名,使浏览器信任中间证书。然后CA机构使用中间证书的私钥来签名用户申请的SSL证书。这种中间证书的形式可以重复多次,即使用中间证书给另一个中间证书,然后新的中间证书同样可以签署SSL证书。

这是证书链的可视化过程。从上述例子可看出,CA机构只需要使用一个中间证书就可以简单实现签名,但实际上真正的证书链通常要复杂的多。

如果证书链不完整就会导致下一级证书不受信任,所以,在安装服务器证书时,请确保你的证书链完整。如果缺少中间证书,可以参考下面的方法获取中间证书。

什么是证书链?

浏览器是如何鉴定信任网站的SSL证书?

其实,当客户端访问服务器时,浏览器会查看SSL证书并快速验证SSL证书的真实性。浏览器对SSL证书身份验证流程是根据证书链的内容而操作的。

证书链是什么?

用户在获取SSL证书之前,首先要生成证书签名请求(CSR)和私钥。在最简单的迭代中,用户将生成的CSR提交到证书颁发机构,然后使用CA机构的根证书的私钥对用户的SSL证书签名,并将SSL证书颁发给用户。

在证书链中,通常分为三级结构,根证书、中间证书和服务器证书。在正常的证书链顺序中服务器证书处于最低端,该证书包含了服务器域名,服务器公钥和签名值等。在其上一级则是中间证书,也就是由权威CA机构授权的二级机构,用来签发服务器证书。最上级就是根证书,也就是CA机构,对服务器身份进行校验时,需要验证整个证书链,由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器证书的签名值是否正确,从而构成一条信任链。如下图所示:

csdn 博客用的证书如上,其中DigiCert为顶端根证书,GeoTrust CN RSA CA G1为中间证书, *.csdn.net 为服务器证书,

当你点击对应的证书,会显示颁发者之间的关系,这种关系便形成证书链。如下图所示:

在证书链中,通常分三级结构,根证书,中间证书和服务器实体证书,正确的证书链顺序中服务器实体证书处在最底端,里面包含了些服务器域名,

服务器公钥和签名值等。服务器证书上一级是中间证书,中间证书就是上面提到的由权威CA机构授权的二级机构,可以由它来签发服务器证书。

中间证书可以是由多张证书组合在一起,最上级的是根证书,也就是CA机构,对服务器身份进行校验时,需要验证一整个证书链,

由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器实体证书的签名值是否正确。

校验服务器身份需要验证整个证书链,从服务器实体证书开始,服务器实体证书的签发者是上一级中间证书的使用者,中间证书的签发者是上一级根证书的使用者。

每一级证书都有签名值,根证书使用自己的根CA公钥验证自己的签名,也用来验证中间证书的签名值,中间证书的公钥用来验证下一级的服务器实体证书签名值,以此构成一条信任链。

HTTPS

HTTPS也就是HTTP+SSL,基于SSL协议的网站加密传输协议,是HTTP的安全版。

您的网站安装SSL证书后,将会通过HTTPS加密协议来传输数据,HTTPS加密传输协议可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),从而实现高强度双向加密传输,防止传输数据被泄露或篡改。

域名

域名是IP地址的代称,由一串用半角句号(.)分隔的名称组成,在数据传输时用来标识一台服务器或服务器组。

单域名是最简单的域名,例如,www.aliyundoc.com

通配符域名是指对应一个主域名及其所有次级子域名的域名。

通配符证书

通配符证书也叫泛域名证书,证书绑定的域名为通配符域名(例如*.aliyundoc.com)时,即称该证书为通配符域名证书。

多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请

混合域名证书

混合域名证书是指绑定的域名既包括单域名,也包括通配符域名的证书。例如,绑定的域名为*.aliyundoc.com、demo.example.com,即称该证书为混合域名证书。

数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。具体操作,请参见证书合并申请

Nginx

Nginx是一款轻量级高并发的Web服务器、反向代理服务器和电子邮件(IMAP和POP3)代理服务器,在BSD-like协议下发行。它可以运行在Linux、Windows、FreeBSD、Solaris、AIX、Mac OS等操作系统上,为您提供反向代理、负载均衡、动静分离等服务。

CSR

CSR(Certificate Signing Request)是证书签名请求文件,包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核,CA中心对CSR文件进行根证书私钥签名后会生成证书公钥文件(即签发给您的SSL证书)。

相关推荐
云飞云共享云桌面20 分钟前
8位机械工程师如何共享一台图形工作站算力?
linux·服务器·网络
音徽编程2 小时前
Rust异步运行时框架tokio保姆级教程
开发语言·网络·rust
幺零九零零4 小时前
【C++】socket套接字编程
linux·服务器·网络·c++
23zhgjx-NanKon4 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon4 小时前
华为eNSP:mux-vlan
网络·安全·华为
点点滴滴的记录4 小时前
RPC核心实现原理
网络·网络协议·rpc
Lionhacker5 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
程思扬6 小时前
为什么Uptime+Kuma本地部署与远程使用是网站监控新选择?
linux·服务器·网络·经验分享·后端·网络协议·1024程序员节
ZachOn1y6 小时前
计算机网络:运输层 —— 运输层概述
网络·tcp/ip·计算机网络·运输层
佚明zj6 小时前
【点云网络】voxelnet 和 pointpillar
网络