SSLセキュリティ証明書 - 概念分析

開発 2019-06-03 22:08:45 訪問数: null

それは、証明書に
デジタル証明書の認証メカニズムです。簡単に言えば、それは認可機関が発行したセキュリティの符号を表します。
SSLセキュリティ証明書 - 概念分析
起源
過去には、伝統的なサイトは、ほぼすべての平文の、データ伝送のためにすべてのデータをHTTPプロトコルを使用して、それはプライバシーの損失になりやすいです。セキュリティ上の問題を解決するために、我々はこれまで、公開鍵暗号(非対称暗号化)および署名アルゴリズムの誕生以来、暗号化と復号化プログラムの使用を検討し始めました。ブラウザは、交渉による動的なキーを生成し、サーバの公開鍵から得て、すべての要求は、動的応答復号鍵に基づいていた後。しかし、ブラウザのために、すべてのHTTPSサーバはそれを信頼されていると主張していません。答えはノーで、サーバーは信頼の彼自身が価値があることを証明し、従って証明書は、公開鍵を含む通常の証明書を、持っているために証明書を提供する必要があります。データ伝送を暗号化するための前提ブラウザとサーバは、サーバ証明書は、ブラウザのリストに存在する信頼できる証明書を信頼されています。

二、PKI -公開鍵インフラストラクチャ
公開鍵インフラストラクチャは、ネットワークセキュリティの問題に共通のベースプラットフォームを解決するために構築された公開鍵技術に基づいています。そのサービスは、公開鍵が含まれ、認証、暗号化、整合性と説明責任サービスを提供しています。
PKI公開鍵技術は、ほぼ全体システム規格のために話すことができます。概念的には、PKIは、PMI(著作権管理)がカバーしていますが、基本的に限り、現在のプロトコルは、上記の証明書を含むすべてのネットワーク・セキュリティ、コンポーネント、サービスおよびその下位のPKIのための公開鍵技術に基づいているとして、それだけではなく、PKI。

PKIの主要な要素:
1つのデジタル証明書、証明書
2 CA証明書が署名され、機関本体RAによって承認
3ストレージディレクトリ
4証明書ポリシー、認証パスとユーザー

三つは、CA -認証局
認証局は、CAが発行し、すべてのPKIの組織と管理システム、個人の責任であるサードパーティの機関のデジタル証明書を管理するための責任がある、と彼らはデジタル証明書を保持し、利用者の公開鍵その他の情報は、ユーザーの身元を確認するために、インターネット上のユーザーに関連付けられて。CAのデジタル署名は、機関***偽造し、証明書を改ざんすることはできませんすることができます。

CA階層
信頼のトップダウンチェーンを確立するために、CA、優れた下位のCAのCAの信頼、下位CA証明書優れたCAによって発行され、認定さ
githubの証明書の階層として:

 

CA機能:
証明書:受信、検証およびデジタル証明書の(下位の認証センターとエンドユーザーを含む)ユーザアプリケーションを受け入れます。
証明書の更新:認証局証明書は、すべてのユーザーのために定期的に更新することができ、またはユーザの要求証明書に基づいてユーザーを更新するために、
証明書のクエリ:現在のユーザー証明書要求プロセスを照会;等のお問い合わせは、LDAPディレクトリ・サーバによって行わ、ユーザ証明書の権限情報を問い合わせます
証明書時代遅れ:ユーザーの秘密鍵漏洩やその他の理由のために、さておき認定センターへの証明書の要求を設定する必要があり、証明書の有効性が証明機関自動的に無効、合格しています。認証センターは、証明書を維持することによって、上記の機能のボイドリスト(証明書失効リスト、CRL)を完了します。
アーカイブ証明書:証明書は一定の有効期間を超過した後、証明書が無効になりますが、時には我々はプロセスで生成された以前のトランザクションのデジタル署名を検証する必要があるかもしれませんので、我々は、その後、証明書は単に破棄されます脇に設定することはできませんがあります私たちは、時代遅れの証明書を確認する必要があります。
出典:

うち4つは、証明書デジタル証明書は、
主に構成された
申請者情報、
申請者の公開鍵、
権限のCAおよびデジタル署名の発行
証明書が有効である
証明書の標準
のX.509 PKIシステムは、第1の公開鍵証明書の基本的な構造を定義する最も基本的な標準であります:
SSL証明書の公開鍵
証明書失効リストCRL(証明書失効リスト)

#12 PKCS
Windows証明書の標準的なプラットフォームとMacプラットフォームでは、多くの場合、ファイル拡張子としてPFX / P12を使用して、
X509は増加し、秘密鍵とアクセスコードに基づいて標準です。

フォーマットエンコーディング
プライバシー強化メール、BASE64符号、読みやすい- PEM
エンコード形式の使用してApacheとUnix / Linuxサーバ
DERを- 。識別符号化規則、バイナリ形式読めない
エンコード形式を使用してWindowsサーバーを。

ファイル名の拡張子

/自分の名前PEMエンコード形式に対応し、デジタル証明書をDER、
CRT、デジタル証明書、UNIX / Linuxシステムで一般的な、
Windowsシステムでは一般的CERデジタル証明書、;
キー以外の証明書、パブリックまたはプライベートキーは、通常のファイルであり、
CSR証明書署名要求、証明書署名要求ファイル;
PFX / P12 - PKCS#12の前身は、標準PKCS#12証明書ファイルがされ
DERエンコーディングを使用して、パスワードにアクセスするために必要な公開鍵と秘密鍵の両方が含まれています

おすすめ

転載: blog.51cto.com/14371730/2404312
おすすめ
ランキング
Huaxia ERP にユーザー名とパスワードに依存する脆弱性が漏洩 (CNVD-2020-63964)
How to perform image recognition and face comparison in Vue
Linuxの意味2>&1
端末装置とTTY、chvt、startxとコマンド
)(pandas.read_csvのdate_parserパラメータを利用する方法
プロジェクト設定はドメイン間でアクセス可能
SpringBoot2.xの基本:設定ファイルの読み込み順序と優先度のオーバーライド
Kubernetesシステムセキュリティ - アクセス制御
なぜダイハツAPPは、招待コード18818128に登録しました
フロントエンドが習得する必要があるネットワークの知識
アーカイブ
もっと
2024-05-21(36)
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)

コードワールド

© 2018 codetd.com