CA证书服务器(4) 证书、CA、PKI

简介:
+关注继续查看

前面连续用3篇博文介绍了网络安全中涉及到的一些基础知识,现在终于要讲到我们的正题了——证书以及证书服务器。

1、证书

对于我们用户来讲,在实际应用中主要是通过证书来实现前面所提到的种种安全技术,就好像开车首先必须要办理驾照一样,我们要使用这些安全技术,首先就得去申请证书。

驾照必须要由交通局颁发,证书也是如此,必须要由权威的第三方机构颁发,这个机构就被称为CA(Cerfiticate Authority,认证中心)。

证书中用到的最核心技术是非对称式加密。用户在申请证书时,需要输入姓名、地址与电子邮件地址等数据,这些数据会被发送到一个称为CSP(cryptographic service provider,密码学服务提供者)的程序,此程序默认已经被安装到申请者的计算机内。CSP会自动创建一对密钥:一个公钥与一个私钥,CSP会将私钥存储到申请者计算机的注册表中,然后将证书申请数据与公钥一起发送到CA。CA检查这些数据无误后,会利用自己的私钥将要发放的证书加以签名,然后发放证书。申请者收到证书后,将证书安装到自己的计算机里。

目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准,符合该标准的证书主要包含以下内容:

114606512.jpg

证书可以用于很多方面,如Web用户身份验证、Web服务器身份验证、安全电子邮件、IPSec等。

2. CA(认证中心)

CA负责为用户颁发证书,必须具有权威性,应该得到用户的信任。

当用户利用某CA所发放的证书来发送一封签名的电子邮件时,接收方的计算机应该要信任由此CA所发放的证书,否则接收方的计算机会将此电子邮件视为有问题的邮件,将会出现警告信息。

150608303.jpg

Windows系统默认已经自动信任一些知名商业CA,打开IE浏览器,在【工具】菜单中选择“Internet选项\内容\证书”,然后在“受信任的根证书颁发机构”中可以查看到此计算机已经信任的CA。

114719192.jpg

我们可以向上述商业CA申请证书,但这需要缴纳不菲的费用,如果我们只是希望在公司内部或合作伙伴之间,能够安全地通过Internet发送数据的话,也可以自己来架设CA,这也就是证书服务器,然后利用我们自己的证书服务器发放证书给员工、客户与供应商等,并且让他们的计算机来信任此CA。

3. PKI(公钥基础设施)

PKI(Public Key Infrastructure,公钥基础设施),是一个通过公钥加密技术(即非对称式加密)与数字证书确保信息安全的体系,它的核心组成部分包括:公钥加密技术、数字证书、CA。

PKI其实就是把我们之前所介绍的那些安全技术以及证书、CA都综合在一起的一个总称,之所以称其为“基础设施”,是因为它在网络信息空间的地位与电力等基础设施在我们工业生活中的地位类似。

电力系统,通过延伸到用户的标准插座为用户提供能源,我们用户只要把各种电气设备插到电源插座上就可以使用电力,而根本不必去关心电到底是怎么产生的又是怎么传输到我们这里的。

PKI也是如此,它通过延伸到用户本地的接口,为各种应用提供安全的服务。有了PKI,安全应用程序的开发者不用再关心那些复杂的数学运算和模型,而直接按照标准使用一种插座(接口)。用户也不用关心如何进行对方的身份鉴别而可以直接使用标准的插座,正如在电力基础设施上使用各种电气设备一样。

所以对于PKI,我们只需了解它所能提供的三大功能:加密、签名、验证。

PKI中最基本的元素是数字证书,所有安全的操作主要通过证书来实现。PKI 中最重要的设备则是CA,负责颁发并管理证书。PKI中的核心技术是公钥加密技术(非对称式加密)。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1187119

相关文章
|
2月前
|
tengine 应用服务中间件 Linux
【Linux环境】如何在Nginx(或Tengine)服务器上安装ssl证书----介绍nginx服务器类型证书的下载与安装操作
【Linux环境】如何在Nginx(或Tengine)服务器上安装ssl证书----介绍nginx服务器类型证书的下载与安装操作
120 0
|
11月前
|
应用服务中间件 网络安全 Apache
解决 Nginx Let's Encrypt HTTPS 证书 错误: 服务器缺少中间证书
解决 Nginx Let's Encrypt HTTPS 证书 错误: 服务器缺少中间证书
505 0
解决 Nginx Let's Encrypt HTTPS 证书 错误: 服务器缺少中间证书
|
11月前
|
存储 安全 网络安全
阿里云Linx服务器为网站设置SSL安全证书
宝塔面板配置网站SSL安全证书(支持https访问)
|
12月前
|
数据建模 应用服务中间件 网络安全
宝塔面板部署DV免费证书(web服务器nginx)
宝塔面板部署DV免费证书(web服务器nginx)
宝塔面板部署DV免费证书(web服务器nginx)
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
172 0
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
|
Ubuntu Linux 网络安全
[Apache,安装包,Openssl,服务器证书,安装目录]Linux Apache SSL证书安装
  一、安装准备 1.安装Openssl要使Apache支持SSL,需要首先安装Openssl支持。(现在的服务器一般都已经预装了,可以直接直接跳到下一步。)安装Openssl有两种方式:1)下载源码编译安装:推荐下载安装openssl-0.9.8k.tar.gz
294 0
|
安全 Java 网络安全
将Fiddler的服务器证书导入到Java的cacerts证书库里
将Fiddler的服务器证书导入到Java的cacerts证书库里
129 0
将Fiddler的服务器证书导入到Java的cacerts证书库里
蚂蚁金服网站服务器证书升级公告
尊敬的开放平台合作伙伴们:     为确保用户可以获得最佳的使用体验,蚂蚁金服网站计划于2018年7月10日升级服务器证书。 请通知贵司技术开发人员尽快完成相关验证和进行必要的修正,以免影响交易正常进行,详细信息可查看《蚂蚁金服网站新服务器证书兼容性验证指引文档》。
443 0
|
存储 Java 应用服务中间件
Confluence 6 导入 Active Directory 服务器证书 - Mac OS X
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
1061 0
|
存储 Java 应用服务中间件
Confluence 6 导入 Active Directory 服务器证书 - UNIX
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
988 0
相关实验场景
更多
推荐文章
更多