1、證書
對於我們使用者來講,在實際應用中主要是通過證書來實現前面所提到的種種安全技術,就好像開車首先必須要辦理駕照一樣,我們要使用這些安全技術,首先就得去申請證書。
駕照必須要由交通局頒發,證書也是如此,必須要由權威的第三方機構頒發,這個機構就被稱為ca(cerfiticate authority,認證中心)。
證書中用到的最核心技術是非對稱式加密。使用者在申請證書時,需要輸入姓名、位址與電子郵件位址等資料,這些資料會被傳送到乙個稱為csp(cryptographic service provider,密碼學服務提供者)的程式,此程式預設已經被安裝到申請者的計算機內。csp會自動建立一對金鑰:乙個公鑰與乙個私鑰,csp會將私鑰儲存到申請者計算機的登錄檔中,然後將證書申請資料與公鑰一起傳送到ca。ca檢查這些資料無誤後,會利用自己的私鑰將要發放的證書加以簽名,然後發放證書。申請者收到證書後,將證書安裝到自己的計算機裡。
目前所使用的證書大都遵循由國際電信聯盟制定的x.509數字證書標準,符合該標準的證書主要包含以下內容:
證書可以用於很多方面,如web使用者身份驗證、web伺服器身份驗證、安全電子郵件、ipsec等。
2. ca
(認證中心)
ca負責為使用者頒發證書,必須具有權威性,應該得到使用者的信任。
當使用者利用某ca所發放的證書來傳送一封簽名的電子郵件時,接收方的計算機應該要信任由此ca所發放的證書,否則接收方的計算機會將此電子郵件視為有問題的郵件,將會出現警告資訊。
windows
系統預設已經自動信任一些知名商業ca,開啟ie瀏覽器,在【工具】選單中選擇「internet選項\內容\證書」,然後在「受信任的根證書頒發機構」中可以檢視到此計算機已經信任的ca。
我們可以向上述商業ca申請證書,但這需要繳納不菲的費用,如果我們只是希望在公司內部或合作夥伴之間,能夠安全地通過internet傳送資料的話,也可以自己來架設ca,這也就是證書伺服器,然後利用我們自己的證書伺服器發放證書給員工、客戶與**商等,並且讓他們的計算機來信任此ca。
3. pki
(公鑰基礎設施)
pki(public key infrastructure,公鑰基礎設施),是乙個通過公鑰加密技術(即非對稱式加密)與數字證書確保資訊保安的體系,它的核心組成部分包括:公鑰加密技術、數字證書、ca。
pki其實就是把我們之前所介紹的那些安全技術以及證書、ca都綜合在一起的乙個總稱,之所以稱其為「基礎設施」,是因為它在網路資訊空間的地位與電力等基礎設施在我們工業生活中的地位類似。
電力系統,通過延伸到使用者的標準插座為使用者提供能源,我們使用者只要把各種電氣裝置插到電源插座上就可以使用電力,而根本不必去關心電到底是怎麼產生的又是怎麼傳輸到我們這裡的。
pki也是如此,它通過延伸到使用者本地的介面,為各種應用提供安全的服務。有了pki,安全應用程式的開發者不用再關心那些複雜的數**算和模型,而直接按照標準使用一種插座(介面)。使用者也不用關心如何進行對方的身份鑑別而可以直接使用標準的插座,正如在電力基礎設施上使用各種電氣裝置一樣。
所以對於pki,我們只需了解它所能提供的三大功能:加密、簽名、驗證。
pki中最基本的元素是數字證書,所有安全的操作主要通過證書來實現。pki 中最重要的裝置則是ca,負責頒發並管理證書。pki中的核心技術是公鑰加密技術(非對稱式加密)。
CA證書伺服器(4) 證書 CA PKI
1 證書對於我們使用者來講,在實際應用中主要是通過證書來實現前面所提到的種種安全技術,就好像開車首先必須要辦理駕照一樣,我們要使用這些安全技術,首先就得去申請證書。駕照必須要由交通局頒發,證書也是如此,必須要由權威的第三方機構頒發,這個機構就被稱為ca cerfiticate authority,認...
伺服器證書
目前網際網路常用的http協議是非常不安全的明文傳輸協議。而ssl協議及其繼任者tls協議,是一種實現網路通訊加密的安全協議,可在客戶端 瀏覽器 和伺服器端 之間建立一條加密通道,保證資料在傳輸過程中不被竊取或篡改。ssl證書,也稱為伺服器證書,是遵守ssl協議的一種數字證書,由全球信任的證書頒發機...
CA證書伺服器(2) 非對稱式加密
在上篇博文中給大家留了一道作業,現在可以公布答案了,在那道題目的4個選項中,也只有c算是比較靠譜,即 甲選取金鑰後通過雙方事先已有的共享金鑰加密後通過網路傳送給乙 但這種方法中存在的問題也很明顯,那個 事先已有的金鑰 又是如何安全地在通訊雙方之間傳送的呢?只靠對稱式加密演算法自身是無法解開這個金鑰管...