CA,证书,签名一锅熟
前言
你可能已经听过不少CA机构,数字证书,签名等等一系列的东西,可是可能都不太在乎,认为其根本没什么用。
做为一个前端,讲道理,你想得没错,确实没什么用,只是在学习https的时候若是理解了这些东西的话会有更好的理解。多学点东西总不会错吧~前端
CA是什么?
CA是Certificate Authority的缩写,也叫“证书受权中心”。
通俗一点讲,就是发证书的机构,权威机构。
打开你的ie浏览器--internet选项--内容--证书
算法
能够看到这里有个受信任的根证书颁发机构,这些里面的颁发者就是咱们所说的CA,那么这些CA是哪里来的呢?浏览器
全球权威的CA,就那么几个公司,这几个公司的证书,已经被各软件厂商设置成可信任的根证书了,内置在系统中了。至于怎么认证为权威,我就不太懂了,他们颁发证书的流程也不太清楚了,反正你就信他们就完了,若是他们出错了,就会被取消CA资格。(提一个沃通,由于乱jb发证书被取消了资格)。当浏览器判断证书颁发机构合法与否的时候,就会查看这个机构有没有存在于本身的系统内置中。安全
上图中还有一个中间证书颁发机构,其实这里是有一个证书链的,上面那个根证书颁发机构发一个证书给A,而后A又发了一个证书给B,那么B也是合法的,A就是这个中间证书颁发机构。根证书->A->B就是一条证书链,相似于朋友介绍朋友。学习
值得一提的是,咱们能够本身建立证书,发给本身,本身翻身作主当CA。能够参考12306网站。
数字证书是什么?
数字证书就是互联网通信中标志通信各方身份信息的一串数字,提供了一种在Internet上验证通讯实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书受权(Certificate Authority)中心发行的,人们能够在网上用它来识别对方的身份。网站
咱们能够经过下面这样来获取咱们浏览中的网站的证书信息。
加密
数字证书的内容主要有哪些呢?spa
- 公钥内容
- 颁发者
- 使用者
- 有效期
- 签名
- 其余信息
加密算法
提到签名以前,咱们要先了解下大概的加密算法有哪些。code
- 对称加密
- 非对称加密
- hash算法
对称加密
特性:加密解密用同一个密钥。像指纹锁,又能够加密又能够解密。blog
- 明文->经过密钥加密->密文
- 密文->经过密钥解密->明文
优势:加密很快
缺点:密钥一泄密,所有人玩完。好比一个公司公用一个密钥,你不能要求每一个员工都作好了保密工做,一旦一个员工泄密了密钥,由于对称加密用的是同一把钥匙,那么因此人的密文都能被解开了。若是你要1对1用不一样密钥的话,那管理密码又是另一个难题了。
非对称加密
特性:加密和解密用的不同的钥匙,就像传统锁,一个是锁头,一个是钥匙。
- 明文->公钥->密文
- 密文->密钥->明文
优势:跟上面那个相反,安全性更高,即便被泄露了一个员工的密钥,其余人的秘密也不会被泄露。管理密码方便。
缺点:加密很慢,比上面那个可能慢上100倍。这也是为何HTTPS不全程使用非对称加密的缘由。
hash算法
特性:单向加密,没法逆转,常见有md5。可以隐藏原始信息,像咱们的密码,咱们只须要对比md5后的密码是否一致,不用关心原文是什么。
讲道理,优缺点都要有对比嘛,这个没啥好对比的,因此没什么优缺点。
签名是什么?
签名是一串通过hash计算的字符。用于判断证书是否合法。
在上面咱们提到了数字证书的内容,里面有一个公钥,这个公钥是啥?
CA机构拥有一对非对称加密的公钥密钥,在发证书的时候啊,就会把这个公钥给出去,他就本身偷偷保存着密钥。
CA给证书签名的流程以下:
- 首先生成一个文件
P,内容有公钥,颁发者,使用者,有效期等。 - 而后把证书内容
P通过hash算法计算,获得一个hash值H - 最后使用本身私藏的私钥对
H进行RSA加密(非对称),获得签名信息S
而后将内容P,签名S连成一个文件,这个文件就是所谓的数字证书了。因此数字证书里,包括证书持有者的身份信息,证书信息,证书持有人的公钥,以及签名信息。
签名有什么用?
是用来验证咱们这个证书是否为权威CA机构所发或者证书是否被篡改。
如今假设客户端获得了这个证书,如何确认这个证书属于谁的呢?
- 首先,证书里有公钥,那咱们能够用这个公钥解密这个签名
S
由于CA用的是RSA非对称加密,并且这个公钥是公开的。那咱们根据前面介绍的加密算法中能够知道:签名S->通过公钥解密->获得H' -
而后,咱们对比这个
H'和咱们上一节讲到的H- 若是二者一致,那么就是合法的,正常的
- 若是二者不一致,那么多是内容被篡改或者不是由CA签发的
若是不合法呢,那么客户端就会弹出一个框,说XXX不受信任,可能潜藏危险,是否要继续前往
通常这个状况下,男性朋友都会义无反顾地选择 继续前往,这是不值得提倡的。
总结
CA证书发一个证书给网站,证书里包括了一些颁发者的信息,签名以及过时时间等等信息。客户端访问网站的时候,会检查你的证书是否合法,是否被黑客篡改,经过判断用公钥解密签名后和原来的hash值是否保持一致来决定是否弹窗警告。
若有错误,请在评论区指出,顺便打个广告☞leelei的博客
- 1. 生成自签名CA+SSL证书
- 2. 秒懂Https之CA证书与自签名证书漫谈
- 3. CA自签名证书,并给服务器颁发证书
- 4. Java实现自签名证书,CA颁发证书
- 5. CA证书与自签名证书的异同
- 6. Alpine Linux添加Let's Encrypt CA证书或者自签CA证书
- 7. java编程模式用CA给证书进行签名/签发证书
- 8. [CA]一个证书两个域名
- 9. Android 签名证书
- 10. 自签名证书
- 更多相关文章...
- • Eclipse 添加书签 - Eclipse 教程
- • XML 验证 - XML 教程
- • RxJava操作符(一)Creating Observables
- • Kotlin学习(一)基本语法
-
每一个你不满意的现在,都有一个你没有努力的曾经。