今天继续介绍有关Linux运维的知识。 本文的主要内容是CA认证和HTTPs原理知识。
另一方面,https和ssl我们在访问网站时,比较常用的是https协议,https协议其实可以在http协议中添加ssl,在互联网上提供内容加密的功能SSL,即安全套接字层、安全套接字层,可以在不安全的公共网络环境中安全地传送密钥。 密钥交换问题是对密码学中非对称加密原理的知识,客户端和服务端在SSL交换密钥后可以生成相同的密钥。 该密钥对双方来说是明确一致的,但如果他人监听了双方的所有通信,则无法恢复双方生成的密钥。
二、证书和CA ssl解决了密钥传输和加密问题,如何验证对方网站的身份? 这需要引入数字证书和CA。
CA,即认证授权,证书颁发机构的简称。 如何利用CA认证我们访问的网站的身份? 当然,我认为可以选择网络公司和政府相关部门的提名等我们信任的机构作为CA。 一个网站在注册域名时要求CA验证,CA通过验证后,立即向该网站颁发证书。 我们只要检查这个网站的证书是否合法,就可以明确那个网站是否合法。 这里,这个证书是数字证书。 与普通证书不同,引入了非对称加密方案,由于CA颁发的证书中包含对CA证书的签名,站点自身无法模仿CA签名,解决了该方案中的安全性问题。 另外,随着当前互联网规模的扩大,一个CA无法解决日益增长的网站需求,因此也可以引入多级CA概念,仅信任一个或多个CA机构,并将这些CA机构作为根CA 根CA可以向若干其他CA机构进行认证,而其他CA机构可以向三个阶段的CA进行认证,从而形成树状结构并分担各个CA的业务压力。
三、证书申请流程一个网站申请CA认证,首先老师需要建立证书请求文件CSr (认证签名请求)。 CSR包含该站点的基本信息,例如主机名、域名、IP位置等,以及该站点预生成的公钥。 然后,该网站将证书发送给CA。 CA通过各种方法认证该网站。 认证成功后,可以在该网站上生成证书。 CA处理CSR文件后,用自己的私钥签名,并将签名值附加到证书中。 这样,一张证书就完成了。 您可以看到证书包含站点的基本身份信息、站点公钥和CA机构签名。
网站证书申请流程如下:
四、用户访问网页的过程如下图所示。
当用户访问网页时,网站首先向用户发送自己的证书。 用户收到证书后,将检查证书的有效性,同时使用CA公钥验证证书的签名。 如果验证成功,则表明该证书确实由CA颁发,并通过了该网站的认证。 如果CA不是根CA,即用户选择不信任CA,则还可以继续查询CA机构的证书,直到用户联系受信任的根CA机构。 默认情况下,我们使用的家用计算机配置了以下受信任证书:
完成上述操作后,接下来可以与此网站协商加密算法、传递密钥和进行加密通信。
原创不容易。 转载来源: https://blog.csdn.net/weixin _ 40228200