一、关于证书
Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。
主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
数字证书历史由来
一般网站采用HTTP明文传输协议进行数据传输,所有的数据几乎都用的明文,导致很容易发生隐私泄露。因此,为了解决网络安全问题,IT技术开始研发如果通过加密的方式保护网络传输的数据。于是乎诞生了公钥加密(非对称加解密)及签名算法。浏览器从服务端获取公钥,经过协商并随机生成动态密钥,从此,所有的网络请求响应都基于动态密钥加解密。然而对于访问者而言,是不是所有声称了 HTTPS 的服务器都值得信任呢。答案是否定的,服务器必须向访问者提供一个凭证以证明自己值得信任,于是乎就诞生了SSL证书,通常的SSL证书里面则包含了公钥。浏览器与服务器进行加密数据传输的前提是服务器上部署的SSL证书是受信任,即存在于浏览器的受信任证书列表中。而要获取SSL证书必须要向申请颁发。
二、CA – 数字证书颁发机构
Certificate Authority,CA 是证书授证中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。的数字签名使得***者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
CA 的功能:
证书颁发:接收、验证及受理用户(包括下级认证中心和最终用户)的数字证书的申请。
证书更新:认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书
证书查询:查询当前用户证书申请处理过程;查询用户证书的颁发信息,这类查询由目录服务器LDAP来完成
证书作废:由于用户私钥泄密等原因,需要向认证中心提出证书作废的请求;证书已经过了有效期,认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。
证书的归档:证书具有一定的有效期,证书过了有效期之后就将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。
来源:
三、PKI – 公钥基础设施
Public Key Infrastructure,是基于公开密钥技术所构建的,实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。为实施电子商务、电子政务、办公自动化等提供了解决网络安全问题的通用基础服务。
PKI 几乎可以代言整个公钥技术体系标准。从概念上,PKI 涵盖了 PMI (权限管理),然而实质上 PKI 不仅如此,目前只要是基于公钥技术实现网络安全的所有协议、组件、服务等都从属于 PKI。
PKI 的关键元素:
1 数字证书 Certificate
2 存储目录
3 证书策略、证书路径及使用者
四、Certificates 数字证书主要构成
申请者信息;
申请者公钥;
签发机构CA及数字签名
证书有效期
证书标准
x.509 是PKI 体系中最基础的标准,它最先定义了公钥证书的基本结构:
SSL公钥证书
证书废除列表CRL(Certificate revocation lists)
PKCS#12
windows 平台及 mac平台使用的证书标准,通常使用 pfx/p12 作为文件扩展名,
该标准在X509的基础之上增加了私钥及存取密码。
编码格式
PEM – Privacy Enhanced Mail, 编码,可读
Apache和Unix/Linux 服务器采用的编码格式.
DER – Distinguished Encoding Rules,二进制格式,不可读.
Windows 服务器采用的编码格式.
文件扩展名
pem/der 数字证书,编码格式与其名称对应;
crt 数字证书,常见于unix/linux系统;
cer 数字证书,常见于windows系统;
key 非证书,一般是公钥或私钥文件;
csr certificate signing request,证书签名请求文件;
pfx/p12 – predecessor of PKCS#12,是PKCS#12 标准的证书文件,
同时包含了公钥和私钥,存取时需提供密码,采用DER 编码