簽發後的ca證書可以進行擴充套件,分為私有擴充套件和標準擴充套件,私有擴充套件針對的是自簽名證書,即由使用者自己簽發的證書,而非ca機構簽發的,一般瀏覽器也不會整合有字簽名證書的根證書,所以訪問這類**時,瀏覽器會提示給證書是不安全的,可能是偽造的。當然使用者也可以選擇信任該證書,然後繼續tls/ssl的握手過程,完成握手後,tls/ssl仍然提供資料加密等完整性保護。自簽名證書通常是內部使用,或者用在測試環境裡,根據證書能否被吊銷,又分為自簽名私有證書和自簽名ca證書,自簽名私有證書是無法吊銷的,而自簽名ca證書可以吊銷,這裡不詳細展開。
回到證書擴充套件,對自簽名證書進行的擴充套件稱為私有擴充套件,對於標準的由ca機構簽發的證書進行擴充套件為標準擴充套件。可擴充套件項有很多,san擴充套件,金鑰識別符號,金鑰用法和基本約束等。
san擴充套件,即subject alternative name,使用者可選擇名稱。subjectaltname屬性項包含了ip位址,網域名稱和電子郵件位址等,且這些屬性的值可以不止乙個,例如網域名稱,拿網域名稱來舉例,在ca證書裡,一張證書被多個網域名稱擁有,則要在使用者subject子項裡放入乙個主網域名稱,然後在san擴充套件中放入其他的網域名稱,且在san擴充套件中第一項dns name為使用者subject子項的主網域名稱,來具體看個例子,在csdn**的證書中:
使用者subject子項中放入的主網域名稱cn = *.csdn.net
可以看到,在證書的san擴充套件項中,第一條dns name和使用者subject子項的網域名稱是一樣的,通過擴充套件項可以為乙個證書擴充套件多個網域名稱。
ca金鑰識別符號表示的是該證書由哪個ca機構發放,還有中間證書的位址,ca機構通過中間證書來簽發伺服器ca證書。使用者金鑰識別符號則是用來標識伺服器實體。
基本約束擴充套件用來標識這個ca證書可不可以簽發證書,沒錯就是由證書來簽發其他伺服器實體證書,而不是通過ca機構簽發。因為如果所有的伺服器實體證書都由ca機構來簽發,那麼ca機構的工作量非常大,受信任的ca機構並不多,所以ca機構採取授權給二級ca機構的方式來簽發和管理證書申請,也就是說,有授權的二級ca機構也可以為伺服器實體簽發證書。受信任的一級ca機構有根證書可以簽發二級ca機構證書,也就是中間證書,然後二級ca機構可以簽發伺服器實體證書。基本約束的預設值是false,標識該證書只能用於身份驗證,不能簽發其他伺服器實體證書。還有乙個屬性path length constraint標識該證書可以簽發多少層級的證書。
crl,certificate revocation list,證書吊銷列表,是tls/ssl協議的一部分,crl是乙個黑名單檔案,裡面存放了所有ca機構簽發的已被吊銷的證書,包括每一張證書被吊銷被吊銷的原因,如果瀏覽器在校驗伺服器身份時發現其證書的序列號在crls(certificate revocation lists)黑名單中,則表示該證書是已經被吊銷了的。
最常見的證書型別是dv證書(domain validated),適合個人**,請求該類證書的速度較快,審核較寬鬆,因為dv證書只需要驗證網域名稱資訊,在伺服器實體申請證書的csr檔案裡,包含了伺服器實體的網域名稱,ca機構校驗網域名稱是真的屬於該伺服器後,便審核通過,簽發dv證書給伺服器實體。不過從dv證書的申請大致流程可以看到,ca機構重點校驗的是網域名稱資訊,不會對伺服器實體身份做嚴格的審查,所以容易出現攻擊者對dns攻擊後使用同樣的網域名稱冒充伺服器實體去申請證書。
第二類,ov證書(organization validated),則會嚴對伺服器實體的身份資訊進行審查,適合企業等機構對安全性的高要求。乙個企業申請ov證書,除了網域名稱審查等資訊外,還要審查企業位址,企業資質等資訊,通過了審核的頒發的ov證書通常會被所有的常用瀏覽器信任,訪問該伺服器時也能看到那個「綠色的小鎖」。ov證書的申請審核時間通常比dv證書長。
第三類ev證書(extended validation),對於身份資訊的審核比dv和ov證書都要嚴格,根據baseline requirement標準來審核伺服器實體的身份,baseline requirement標準和x.509標準不同之處在於,x.509標準用來約束證書的結構,baseline requirement標準則是用來約束對證書申請者的身份資訊審核流程。一般對於銀行,電商等對安全性要求極高的機構會申請ev證書,審核的資訊包括機構的位址,營業執照等,申請審核時間也是最長的,比ov證書要長,申請費用也更高。擁有ev證書的伺服器訪問時除了會有「綠色小鎖」標誌外,還會顯示該企業的名字,而dv證書和ov證書只會顯示「綠色小鎖」標誌。
在伺服器網域名稱中,基於乙個註冊域,可以分配出多個子網域名稱。例如www.zzzjustin.com
中,zzzjustin.com是註冊域,基於這個註冊域,我們可以分配出多個主機,如www1.zzzjustin.com和www2.zzzjustin.com等,在註冊域簽名加上「.」,表示的是這些子網域名稱的幾個,.zzzjustin.com稱為泛網域名稱。
如果乙個企業為乙個註冊域zzzjustin.com申請了證書,之後又想分配乙個新的主機www1.zzzjustin.com,那麼企業無需為這個新主機重新申請證書,而是直接把該主機合併到與註冊域zzzjustin.com同乙個證書中就可以了。這類將多個主機包含在一張證書中稱為泛網域名稱證書,每次乙個註冊域新增加乙個主機時,都不需要重新申請證書。對應的也有單網域名稱證書,即乙個網域名稱只對應一張證書,該證書只保護乙個網域名稱。
那如果乙個企業有多個註冊域呢?例如www.zzzjustin.com
和www.zzzjustin.cn
,這種情況可以申請san證書,將多個註冊域合併到一張證書中。
Microsoft證書分類
微軟認證專家 mcp 獲得業界承認的對至少一種微軟產品的技術的精通和所需的專業技能 為獲得其他的微軟認證建立基礎 微軟認證專家 internet mcp internet 獲得微軟認專家 internet證書證明您有能力 設計internet intranet系統的安全效能 安裝和配置伺服器產品 管...
詳談SSL證書分類
ssl證書是網路安全的重要因素,它可以從支援網域名稱數量,是否支援子網域名稱,驗證方式來分類,那麼我們來了解下ssl證書分類。一 網域名稱數量 1 單網域名稱證書,意思就是乙個證書對應乙個網域名稱。2 多網域名稱證書,分為子域和主域。二 是否支援子網域名稱 1 萬用字元證書,也叫做泛網域名稱證書,支...
理解證書和證書鏈
證書和證書鏈 最近一直在研究的東東,這東西說到底,也是依賴於乙個前提 root 證書,所以說很多安全說最終也是個偽命題 只是搞理論的人喜歡 把東西搞複雜,亂扯概念,不講本質。1.簡單來說,end user證書上面幾級證書都是為了保證end user證書未被篡改,保證是ca簽發的合法證書,進而保證en...