证书:就是为了证明自己身份的东西,所以证书要提供给需要校验我们身份的人;一般情况下,客户端需要校验服务端有没有被人伪造,所以客户端需要安装对应的服务端的证书;证书的实质内容就是一把公钥
这里面主要有三部分:
证书签发中心CA
证书申请方Server
证书使用方Client
正常情况下,客户端和服务端直接交互就可以了,但是这里有个问题,如果有第三方伪造成服务端的话就存在风险,因此客户端需要认证服务端的身份然后进行后续通讯,仅靠两方进行身份认证是不够的,这里需要引进权威的第三方即证书签发中心
证书签发中心CA,这里有两个很重要的东西,即一对公私钥(PBca和PRca),这里是如何使用公私钥的呢,首先私钥是不能对外的,留在签发结构,公钥可以认为就是CA的一个根证书,这个是注入在操作系统内部的
证书的内容,证书的内容主要有以下及部分内容
1、证书的签发机构(对应根证书)
2、证书的有效期
3、申请证书的机构(身份证)
4、申请证书机构的公钥(证书核心)
5、签名算法
6、指纹及指纹算法(防止证书被篡改)
这里最重要的内容是保证公钥的有效性,为了保证公钥的有效性,防篡改是最重要的,如果做到防篡改即第六点:
我们会对证书里面的所有内容做hash(指纹算法),hash之后的值就是指纹放在证书里面,明文防止指纹还是有被修改的风险,因此这里在签发证书的过程中用CA的私钥PRca对指纹做一次加密(签名算法),对应用的公钥也做一次加密,这样就可以防止被篡改
客户端或者浏览器验证原理
因为在客户端有CA的公钥PUca,此时可以根据PBca及签名算法计算出指纹,然后根据指纹算法计算证书的内容,将二者进行比较,如果内容一致,说明没有被篡改;此时可以继续使用公钥进行后续通讯
几种文件
crt文件,即为证书文件,其中CA.crt是CA的根证书文件;Server.crt是CA给server签发的证书文件
key文件,server的服务端私钥
jks文件,java格式的对应的证书文件