CA和证书
PKI: Public Key Infrastructure
- 签证机构: CA( Certificate Authority)
- 注册机构: RA
- 证书吊销列表: CRL
- 证书存取库:
X.509:定义了证书的结构以及认证协议标准
版本号 序列号 签名 算法 颁发者
有效期限
主体名称 主体公钥 CRL分发点
扩展信息 发行者签名
证书获取
证书类型:
证书授权机构的证书:
- 服务器 给网站颁发证书
- 用户证书 给用户mail颁发证书
获取证书两种方法:
使用证书授权机构
- 生成签名请求( csr)
- 将csr发送给CA
- 从CA处接收签名
自签名的证书
- 自已签发自己的公钥
CA的实现需要配合一个协议SSL/TLS
安全协议
SSL: Secure Socket Layer, TLS: Transport Layer Security(传输层安全协议)
- 1995: SSL 2.0 Netscape
- 1996: SSL 3.0
- 1999: TLS 1.0
- 2006: TLS 1.1 IETF(Internet工程任务组) RFC 4346
- 2008: TLS 1.2 当前使用
- 2015: TLS 1.3
功能:机密性,认证,完整性,重放保护
两阶段协议,分为握手阶段和应用阶段
握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。 后续通信使用的所有密钥都是通过MasterSecret生成。
应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信
SSL/TLS
SSL/TLS工作在应用层和传输层中间;对应用层的应用进行加密
Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换;
ChangeCipherSpec 协议:一条消息表明握手协议已经完成
Alert 协议:对握手协议中一些异常的错误提醒,分为fatal和warning两个级别,fatal类型错误会直接中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告
Record 协议:包括对消息的分段、压缩、消息认证和完整性保护、加密等
HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。 HTTP over SSL” 或“HTTP over TLS” ,对http协议的文本数据进行加密处理后,成为二进制形式传输;
HTTPS结构
HTTPS工作过程