PKI 公钥基础设施 及 CA 认证原理 之 -- CA证书申请及证书认证过程
数字证书为发布公钥提供了一种简便的途径,其数字证书则成为加密算法以及公钥的载体,依靠数字证书,我们可以构建一个简单的加密网络应用平台
现实中,身份证由公安机关签发,而网络用户的身份凭证由数字证书颁发认证机构—CA签发,只有经过CA签发的证书在网络中才具备可认证性,CA并不是一个单纯的防御手段,它集合了多种密码学算法:
消息摘要算法:MD5、和SHA(对数字证书本省做摘要处理,用于验证数据完整性服务器)
对称加密算法:RC2、RC4、IDEA、DES、AES(对数据进行加密/解密操作,用于保证数据保密性服务)
非对称加密算法:RSA、DH(对数据进行加密/解密操作,用于保证数据保密性服务)
数字签名算法:RSA、DSA(对数据进行签名/验证操作,保证数据的完整性和抗否认性)。
数字证书的签发
证书的签发过程实际上是对申请数字证书的公钥做数字签名,证书的验证过程实际上是对数字证书的公钥做验证签名,其中还包含证书有效期验证。
通过 CA 数字证书,我们对网络上传输的数据进行加密/解密和签名/验证操作,确保数据机密性、完整性、抗否认性、认证性,保证交易实体身份的真实性,保证网络安全性。
这里的认证机构如果是证书申请者本身,将获得自签名证书。
要获得数字证书,我们需要构建CSR(数字证书签发申请),交由CA机构签发,形成最终的数字证书
数字证书使用
当客户端获得服务器下发的数字证书后,即可使用数字证书进行加密交互
数字证书的应用环境是在 https 安全协议中,使用流程远比上述加密交互流程复杂,但是相关操作封装在传输层,对于应用层透明
在 https 安全协议中使用非对称加密算法交换密钥,使用对称加密算法对数据进行加密/解密操作,提高加密/解密效率
证书的认证过程
拆封证书:验证发行者CA的公钥能否正确解开客户实体证书中的 "发行者的数字签名"
证书链的验证: 证书链也称认证链, 是想通过证书链追溯到可信赖的CA的根(ROOT)
序列号验证: 检查实体证书中的签名实体序列号是否与签发者证书的序列号相一致,验证证书的真伪
有效期验证: 有效期验证就是检查用户证书使用的日期是否合法,有无过期
证书作废止列表查询: 检查用户的证书是否已经作废,并发布在证书吊销列表中。一般称 CRL 查询,俗称“黑名单查询”。
证书使用策略的认证: 证书的使用方式与任何声明的策略Certificate Policy或使用限制相一致
共 0 条评论