雙向ssl認(rèn)證原理及相關(guān)過(guò)程
分類:云服務(wù)資訊
編輯:
瀏覽量:100
2021-08-21 10:57:04
??隨著互聯(lián)網(wǎng)的發(fā)展,很多人開(kāi)始在網(wǎng)上進(jìn)行信息的傳輸以及網(wǎng)絡(luò)購(gòu)物,人們開(kāi)始享受互聯(lián)網(wǎng)所帶來(lái)的便利,然而為了保護(hù)我們的用戶信息,ssl證書(shū)便應(yīng)運(yùn)而生,如何進(jìn)行雙向ssl認(rèn)證顯得非常重要,下面就是小編為大家總結(jié)的相關(guān)知識(shí)。
??SSL雙向認(rèn)證原理
??要想弄明白SSL認(rèn)證原理,首先要對(duì)CA有有所了解,新網(wǎng)中的描述為,它在SSL認(rèn)證過(guò)程中有非常重要的作用。說(shuō)白了,CA就是一個(gè)組織,專門為網(wǎng)絡(luò)服務(wù)器頒發(fā)證書(shū)的,國(guó)際知名的CA機(jī)構(gòu)有VeriSign、Symantec,國(guó)內(nèi)的有GlobalSign。每一家CA都有自己的根證書(shū),用來(lái)對(duì)它所簽發(fā)過(guò)的服務(wù)器端證書(shū)進(jìn)行驗(yàn)證。
??如果服務(wù)器提供方想為自己的服務(wù)器申請(qǐng)證書(shū),它就需要向CA機(jī)構(gòu)提出申請(qǐng)。服務(wù)器提供方向CA提供自己的身份信息,CA判明申請(qǐng)者的身份后,就為它分配一個(gè)公鑰,并且CA將該公鑰和服務(wù)器身份綁定在一起,并為之簽字,這就形成了一個(gè)服務(wù)器端證書(shū)。
??如果一個(gè)用戶想鑒別另一個(gè)證書(shū)的真?zhèn)危陀?CA 的公鑰對(duì)那個(gè)證書(shū)上的簽字進(jìn)行驗(yàn)證,一旦驗(yàn)證通過(guò),該證書(shū)就被認(rèn)為是有效的。證書(shū)實(shí)際是由證書(shū)簽證機(jī)關(guān)(CA)簽發(fā)的對(duì)用戶的公鑰的認(rèn)證。
??證書(shū)的內(nèi)容包括:電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。目前,證書(shū)的格式和驗(yàn)證方法普遍遵循X.509 國(guó)際標(biāo)準(zhǔn)。
??雙向認(rèn)證 SSL 協(xié)議的具體過(guò)程
??① 瀏覽器發(fā)送一個(gè)連接請(qǐng)求給安全服務(wù)器。
??② 服務(wù)器將自己的證書(shū),以及同證書(shū)相關(guān)的信息發(fā)送給客戶瀏覽器。
??③ 客戶瀏覽器檢查服務(wù)器送過(guò)來(lái)的證書(shū)是否是由自己信賴的 CA 中心所簽發(fā)的。如果是,就繼續(xù)執(zhí)行協(xié)議;如果不是,客戶瀏覽器就給客戶一個(gè)警告消息:警告客戶這個(gè)證書(shū)不是可以信賴的,詢問(wèn)客戶是否需要繼續(xù)。
??④ 接著客戶瀏覽器比較證書(shū)里的消息,例如域名和公鑰,與服務(wù)器剛剛發(fā)送的相關(guān)消息是否一致,如果是一致的,客戶瀏覽器認(rèn)可這個(gè)服務(wù)器的合法身份。
??⑤ 服務(wù)器要求客戶發(fā)送客戶自己的證書(shū)。收到后,服務(wù)器驗(yàn)證客戶的證書(shū),如果沒(méi)有通過(guò)驗(yàn)證,拒絕連接;如果通過(guò)驗(yàn)證,服務(wù)器獲得用戶的公鑰。
??⑥ 客戶瀏覽器告訴服務(wù)器自己所能夠支持的通訊對(duì)稱密碼方案。
??⑦ 服務(wù)器從客戶發(fā)送過(guò)來(lái)的密碼方案中,選擇一種加密程度最高的密碼方案,用客戶的公鑰加過(guò)密后通知瀏覽器。
??⑧ 瀏覽器針對(duì)這個(gè)密碼方案,選擇一個(gè)通話密鑰,接著用服務(wù)器的公鑰加過(guò)密后發(fā)送給服務(wù)器。
??⑨ 服務(wù)器接收到瀏覽器送過(guò)來(lái)的消息,用自己的私鑰解密,獲得通話密鑰。
??⑩ 服務(wù)器、瀏覽器接下來(lái)的通訊都是用對(duì)稱密碼方案,對(duì)稱密鑰是加過(guò)密的。
??如何自己創(chuàng)建證書(shū)
??每個(gè)證書(shū)發(fā)布機(jī)構(gòu)都有自己的用來(lái)創(chuàng)建證書(shū)的工具,當(dāng)然,具體他們?cè)趺慈?chuàng)建一個(gè)證書(shū)的我也不太清楚,不同類型的證書(shū)都有一定的格式和規(guī)范,我沒(méi)有仔細(xì)去研究過(guò)這部分內(nèi)容。微軟為我們提供了一個(gè)用來(lái)創(chuàng)建證書(shū)的工具makecert.exe,在安裝Visual Studio的時(shí)候會(huì)安裝上。如果沒(méi)有安裝也無(wú)所謂,可以上新網(wǎng)去下一個(gè),搜索makecert就可以了。可以直接從我的博客下載,這是鏈接。
??向一些正規(guī)的證書(shū)發(fā)布機(jī)構(gòu)申請(qǐng)證書(shū)一般是要收費(fèi)的(因?yàn)閯e人要花時(shí)間檢查你的身份,確認(rèn)有沒(méi)有同名的證書(shū)等等),這里我們看下如何自己創(chuàng)建一個(gè)證書(shū),為后面在IIS中配置Https做準(zhǔn)備。
??相信大家看完之后都會(huì)有自己的感觸,我們的網(wǎng)絡(luò)信息和我們的日常生活息息相關(guān),自主的保護(hù)才能使我們的生活免受打擾,因此進(jìn)行雙向ssl認(rèn)證非常的重要。
??SSL雙向認(rèn)證原理
??要想弄明白SSL認(rèn)證原理,首先要對(duì)CA有有所了解,新網(wǎng)中的描述為,它在SSL認(rèn)證過(guò)程中有非常重要的作用。說(shuō)白了,CA就是一個(gè)組織,專門為網(wǎng)絡(luò)服務(wù)器頒發(fā)證書(shū)的,國(guó)際知名的CA機(jī)構(gòu)有VeriSign、Symantec,國(guó)內(nèi)的有GlobalSign。每一家CA都有自己的根證書(shū),用來(lái)對(duì)它所簽發(fā)過(guò)的服務(wù)器端證書(shū)進(jìn)行驗(yàn)證。
??如果服務(wù)器提供方想為自己的服務(wù)器申請(qǐng)證書(shū),它就需要向CA機(jī)構(gòu)提出申請(qǐng)。服務(wù)器提供方向CA提供自己的身份信息,CA判明申請(qǐng)者的身份后,就為它分配一個(gè)公鑰,并且CA將該公鑰和服務(wù)器身份綁定在一起,并為之簽字,這就形成了一個(gè)服務(wù)器端證書(shū)。
??如果一個(gè)用戶想鑒別另一個(gè)證書(shū)的真?zhèn)危陀?CA 的公鑰對(duì)那個(gè)證書(shū)上的簽字進(jìn)行驗(yàn)證,一旦驗(yàn)證通過(guò),該證書(shū)就被認(rèn)為是有效的。證書(shū)實(shí)際是由證書(shū)簽證機(jī)關(guān)(CA)簽發(fā)的對(duì)用戶的公鑰的認(rèn)證。
??證書(shū)的內(nèi)容包括:電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。目前,證書(shū)的格式和驗(yàn)證方法普遍遵循X.509 國(guó)際標(biāo)準(zhǔn)。
??雙向認(rèn)證 SSL 協(xié)議的具體過(guò)程
??① 瀏覽器發(fā)送一個(gè)連接請(qǐng)求給安全服務(wù)器。
??② 服務(wù)器將自己的證書(shū),以及同證書(shū)相關(guān)的信息發(fā)送給客戶瀏覽器。
??③ 客戶瀏覽器檢查服務(wù)器送過(guò)來(lái)的證書(shū)是否是由自己信賴的 CA 中心所簽發(fā)的。如果是,就繼續(xù)執(zhí)行協(xié)議;如果不是,客戶瀏覽器就給客戶一個(gè)警告消息:警告客戶這個(gè)證書(shū)不是可以信賴的,詢問(wèn)客戶是否需要繼續(xù)。
??④ 接著客戶瀏覽器比較證書(shū)里的消息,例如域名和公鑰,與服務(wù)器剛剛發(fā)送的相關(guān)消息是否一致,如果是一致的,客戶瀏覽器認(rèn)可這個(gè)服務(wù)器的合法身份。
??⑤ 服務(wù)器要求客戶發(fā)送客戶自己的證書(shū)。收到后,服務(wù)器驗(yàn)證客戶的證書(shū),如果沒(méi)有通過(guò)驗(yàn)證,拒絕連接;如果通過(guò)驗(yàn)證,服務(wù)器獲得用戶的公鑰。
??⑥ 客戶瀏覽器告訴服務(wù)器自己所能夠支持的通訊對(duì)稱密碼方案。
??⑦ 服務(wù)器從客戶發(fā)送過(guò)來(lái)的密碼方案中,選擇一種加密程度最高的密碼方案,用客戶的公鑰加過(guò)密后通知瀏覽器。
??⑧ 瀏覽器針對(duì)這個(gè)密碼方案,選擇一個(gè)通話密鑰,接著用服務(wù)器的公鑰加過(guò)密后發(fā)送給服務(wù)器。
??⑨ 服務(wù)器接收到瀏覽器送過(guò)來(lái)的消息,用自己的私鑰解密,獲得通話密鑰。
??⑩ 服務(wù)器、瀏覽器接下來(lái)的通訊都是用對(duì)稱密碼方案,對(duì)稱密鑰是加過(guò)密的。
??如何自己創(chuàng)建證書(shū)
??每個(gè)證書(shū)發(fā)布機(jī)構(gòu)都有自己的用來(lái)創(chuàng)建證書(shū)的工具,當(dāng)然,具體他們?cè)趺慈?chuàng)建一個(gè)證書(shū)的我也不太清楚,不同類型的證書(shū)都有一定的格式和規(guī)范,我沒(méi)有仔細(xì)去研究過(guò)這部分內(nèi)容。微軟為我們提供了一個(gè)用來(lái)創(chuàng)建證書(shū)的工具makecert.exe,在安裝Visual Studio的時(shí)候會(huì)安裝上。如果沒(méi)有安裝也無(wú)所謂,可以上新網(wǎng)去下一個(gè),搜索makecert就可以了。可以直接從我的博客下載,這是鏈接。
??向一些正規(guī)的證書(shū)發(fā)布機(jī)構(gòu)申請(qǐng)證書(shū)一般是要收費(fèi)的(因?yàn)閯e人要花時(shí)間檢查你的身份,確認(rèn)有沒(méi)有同名的證書(shū)等等),這里我們看下如何自己創(chuàng)建一個(gè)證書(shū),為后面在IIS中配置Https做準(zhǔn)備。
??相信大家看完之后都會(huì)有自己的感觸,我們的網(wǎng)絡(luò)信息和我們的日常生活息息相關(guān),自主的保護(hù)才能使我們的生活免受打擾,因此進(jìn)行雙向ssl認(rèn)證非常的重要。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)
送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)
需注明出處:新網(wǎng)idc知識(shí)百科
商品已成功加入購(gòu)物車