CA证书服务器(4) 证书、CA、PKI

简介:

前面连续用3篇博文介绍了网络安全中涉及到的一些基础知识,现在终于要讲到我们的正题了——证书以及证书服务器。

1、证书

对于我们用户来讲,在实际应用中主要是通过证书来实现前面所提到的种种安全技术,就好像开车首先必须要办理驾照一样,我们要使用这些安全技术,首先就得去申请证书。

驾照必须要由交通局颁发,证书也是如此,必须要由权威的第三方机构颁发,这个机构就被称为CA(Cerfiticate Authority,认证中心)。

证书中用到的最核心技术是非对称式加密。用户在申请证书时,需要输入姓名、地址与电子邮件地址等数据,这些数据会被发送到一个称为CSP(cryptographic service provider,密码学服务提供者)的程序,此程序默认已经被安装到申请者的计算机内。CSP会自动创建一对密钥:一个公钥与一个私钥,CSP会将私钥存储到申请者计算机的注册表中,然后将证书申请数据与公钥一起发送到CA。CA检查这些数据无误后,会利用自己的私钥将要发放的证书加以签名,然后发放证书。申请者收到证书后,将证书安装到自己的计算机里。

目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准,符合该标准的证书主要包含以下内容:

证书可以用于很多方面,如Web用户身份验证、Web服务器身份验证、安全电子邮件、IPSec等。

2. CA(认证中心)

CA负责为用户颁发证书,必须具有权威性,应该得到用户的信任。

当用户利用某CA所发放的证书来发送一封签名的电子邮件时,接收方的计算机应该要信任由此CA所发放的证书,否则接收方的计算机会将此电子邮件视为有问题的邮件,将会出现警告信息。

Windows系统默认已经自动信任一些知名商业CA,打开IE浏览器,在【工具】菜单中选择“Internet选项\内容\证书”,然后在“受信任的根证书颁发机构”中可以查看到此计算机已经信任的CA。

我们可以向上述商业CA申请证书,但这需要缴纳不菲的费用,如果我们只是希望在公司内部或合作伙伴之间,能够安全地通过Internet发送数据的话,也可以自己来架设CA,这也就是证书服务器,然后利用我们自己的证书服务器发放证书给员工、客户与供应商等,并且让他们的计算机来信任此CA。

3. PKI(公钥基础设施)

PKI(Public Key Infrastructure,公钥基础设施),是一个通过公钥加密技术(即非对称式加密)与数字证书确保信息安全的体系,它的核心组成部分包括:公钥加密技术、数字证书、CA。

PKI其实就是把我们之前所介绍的那些安全技术以及证书、CA都综合在一起的一个总称,之所以称其为“基础设施”,是因为它在网络信息空间的地位与电力等基础设施在我们工业生活中的地位类似。

电力系统,通过延伸到用户的标准插座为用户提供能源,我们用户只要把各种电气设备插到电源插座上就可以使用电力,而根本不必去关心电到底是怎么产生的又是怎么传输到我们这里的。

PKI也是如此,它通过延伸到用户本地的接口,为各种应用提供安全的服务。有了PKI,安全应用程序的开发者不用再关心那些复杂的数学运算和模型,而直接按照标准使用一种插座(接口)。用户也不用关心如何进行对方的身份鉴别而可以直接使用标准的插座,正如在电力基础设施上使用各种电气设备一样。

所以对于PKI,我们只需了解它所能提供的三大功能:加密、签名、验证。

PKI中最基本的元素是数字证书,所有安全的操作主要通过证书来实现。PKI 中最重要的设备则是CA,负责颁发并管理证书。PKI中的核心技术是公钥加密技术(非对称式加密)。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1187119

相关文章
|
3月前
|
安全 网络安全 Apache
如何为服务器生成一个TLS证书
通过以上步骤,您可以成功地为服务器生成并配置TLS证书,确保网站的安全性。本文涵盖了从生成私钥、创建CSR、使用自签名证书到获取正式证书的详细步骤,并且对每个步骤进行了详细的解释,使即使是非专业人士也能顺利完成TLS证书的配置。
337 79
|
12月前
|
前端开发 小程序 应用服务中间件
在服务器上正确配置域名https证书(ssl)及为什么不推荐使用宝塔申请免费ssl证书
在服务器上正确配置域名https证书(ssl)及为什么不推荐使用宝塔申请免费ssl证书
450 4
|
tengine 应用服务中间件 Linux
【Linux环境】如何在Nginx(或Tengine)服务器上安装ssl证书----介绍nginx服务器类型证书的下载与安装操作
【Linux环境】如何在Nginx(或Tengine)服务器上安装ssl证书----介绍nginx服务器类型证书的下载与安装操作
670 0
|
11月前
|
网络安全
嗯… 无法访问此页面43.139.210.211 花了太长时间进行响应,无法连接宝塔,是服务器内的宝塔面板开启了ssl的验证,但是没有绑定证书,所以被拦截,关闭宝塔面板的ssl访问认证恢复正常
嗯… 无法访问此页面43.139.210.211 花了太长时间进行响应,无法连接宝塔,是服务器内的宝塔面板开启了ssl的验证,但是没有绑定证书,所以被拦截,关闭宝塔面板的ssl访问认证恢复正常
本地下载使用证书登陆的linux服务器的文件的命令
本地下载使用证书登陆的linux服务器的文件的命令
|
安全 算法 网络安全
windows服务器——部署PKI与证书服务
windows服务器——部署PKI与证书服务
299 0
|
应用服务中间件 网络安全 Apache
解决 Nginx Let's Encrypt HTTPS 证书 错误: 服务器缺少中间证书
解决 Nginx Let's Encrypt HTTPS 证书 错误: 服务器缺少中间证书
1008 0
解决 Nginx Let's Encrypt HTTPS 证书 错误: 服务器缺少中间证书
|
2月前
|
存储 缓存 弹性计算
阿里云经济型e实例云服务器评测:企业官网搭建的性价比之选
阿里云服务器经济型e实例可以用来搭建企业网站吗?云服务器作为搭建企业官网的基础设施,其性能、稳定性、成本等因素直接影响着官网的运营效果。阿里云经济型e实例云服务器作为一款性价比较高的产品,备受用户关注。许多企业在选择云服务器搭建官网时,都会将其纳入考虑范围。本文将详细探讨阿里云经济型e实例云服务器的特点、性能表现、稳定性与可靠性,以及成本考量,最终解答是否适合用它来搭建企业官网。
|
3月前
|
存储 缓存 网络协议
阿里云特惠云服务器99元与199元配置与性能和适用场景解析:高性价比之选
2025年,阿里云长效特惠活动继续推出两款极具吸引力的特惠云服务器套餐:99元1年的经济型e实例2核2G云服务器和199元1年的通用算力型u1实例2核4G云服务器。这两款云服务器不仅价格亲民,而且性能稳定可靠,为入门级用户和普通企业级用户提供了理想的选择。本文将对这两款云服务器进行深度剖析,包括配置介绍、实例规格、使用场景、性能表现以及购买策略等方面,帮助用户更好地了解这两款云服务器,以供参考和选择。
|
3月前
|
域名解析 人工智能 弹性计算
DeepSeek服务器繁忙解决方法:使用阿里云一键部署DeepSeek个人网站!
通过阿里云一键部署DeepSeek个人网站,解决服务器繁忙问题。学生用户可领取300元代金券实现0成本部署,普通用户则可用99元/年的服务器。教程涵盖从选择套餐、设置密码到获取百炼API-KEY的全流程,助您快速搭建专属大模型主页,体验DeepSeek、Qwen-max、Llama等多款模型,无需代码,最快5分钟完成部署。支持绑定个人域名,共享亲友使用,日均成本仅约1元。
257 10

热门文章

最新文章