一、關於證書
數字證書是一種認證機制。簡單點說,它代表了一種由權威機構頒發授權的安全標誌。
由來
在以前,傳統網站採用HTTP協議進行數據傳輸,所有的數據幾乎都用的明文,很容易發生隱私泄露。爲了解決安全問題,大家開始考慮採用加解密的方案,於是乎誕生了公鑰加密(非對稱加解密)及簽名算法。瀏覽器從服務端得到公鑰,經過協商並生成動態密鑰,此後所有的請求響應都基於動態密鑰加解密。然而對於瀏覽器而言,是不是所有聲稱了 HTTPS 的服務器都值得信任呢。答案是否定的,服務器必須提供一個憑證以證明自己值得信任,於是乎這就有了證書,通常的證書裏面則包含了公鑰。瀏覽器與服務器進行加密數據傳輸的前提是服務器證書受到信任,即存在於瀏覽器的受信任證書列表中。
二、PKI - 公鑰基礎設施
Public Key Infrastructure,是基於公開密鑰技術所構建的,用以解決網絡安全問題的通用基礎平臺。其服務範圍包括公鑰管理、提供認證、加密、完整性和可追究性服務。
PKI 幾乎可以代言整個公鑰技術體系標準。從概念上,PKI 涵蓋了 PMI (權限管理),然而實質上 PKI 不僅如此,目前只要是基於公鑰技術實現網絡安全的所有協議、組件、服務等都從屬於 PKI,包括上述的證書。
PKI 的關鍵元素:
1 數字證書 Certificate
2 證書籤署機構 CA 及批准機構 RA
3 存儲目錄
4 證書策略、證書路徑及使用者
三、CA - 證書授權中心
Certificate Authority,CA 是負責發放並管理數字證書的第三方權威機構,它負責管理 PKI 體系中的所有組織、個人、以及他們持有的的數字證書,將用戶的公鑰及用戶的其他信息捆綁在一起,在網上驗證用戶的身份。CA機構的數字簽名使得***者不能僞造和篡改證書。
CA 的層級結構
CA建立自上而下的信任鏈,下級CA信任上級CA,下級CA由上級CA頒發證書並認證
如github的證書層級:
CA 的功能:
證書頒發:接收、驗證及受理用戶(包括下級認證中心和最終用戶)的數字證書的申請。
證書更新:認證中心可以定期更新所有用戶的證書,或者根據用戶的請求來更新用戶的證書
證書查詢:查詢當前用戶證書申請處理過程;查詢用戶證書的頒發信息,這類查詢由目錄服務器LDAP來完成
證書作廢:由於用戶私鑰泄密等原因,需要向認證中心提出證書作廢的請求;證書已經過了有效期,認證中心自動將該證書作廢。認證中心通過維護證書作廢列表 (Certificate Revocation List,CRL) 來完成上述功能。
證書的歸檔:證書具有一定的有效期,證書過了有效期之後就將作廢,但是我們不能將作廢的證書簡單地丟棄,因爲有時我們可能需要驗證以前的某個交易過程中產生的數字簽名,這時我們就需要查詢作廢的證書。
來源:
四、Certificates 數字證書
主要構成
申請者信息;
申請者公鑰;
簽發機構CA及數字簽名
證書有效期
證書標準
x.509 是PKI 體系中最基礎的標準,它最先定義了公鑰證書的基本結構:
SSL公鑰證書
證書廢除列表CRL(Certificate revocation lists)
PKCS#12
windows 平臺及 mac平臺使用的證書標準,通常使用 pfx/p12 作爲文件擴展名,
該標準在X509的基礎之上增加了私鑰及存取密碼。
編碼格式
PEM - Privacy Enhanced Mail, BASE64編碼,可讀
Apache和Unix/Linux 服務器採用的編碼格式.
DER - Distinguished Encoding Rules,二進制格式,不可讀.
Windows 服務器採用的編碼格式.
文件擴展名
pem/der 數字證書,編碼格式與其名稱對應;
crt 數字證書,常見於unix/linux系統;
cer 數字證書,常見於windows系統;
key 非證書,一般是公鑰或私鑰文件;
csr certificate signing request,證書籤名請求文件;
pfx/p12 - predecessor of PKCS#12,是PKCS#12 標準的證書文件,
同時包含了公鑰和私鑰,存取時需提供密碼,採用DER 編碼