雙向ssl認(rèn)證原理及相關(guān)過程


隨著互聯(lián)網(wǎng)的發(fā)展,很多人開始在網(wǎng)上進(jìn)行信息的傳輸以及網(wǎng)絡(luò)購物,人們開始享受互聯(lián)網(wǎng)所帶來的便利,然而為了保護(hù)我們的用戶信息,證書便應(yīng)運(yùn)而生,如何進(jìn)行雙向顯得非常重要,下面就是小編為大家總結(jié)的相關(guān)知識。

SSL雙向認(rèn)證原理

要想弄明白SSL認(rèn)證原理,首先要對CA有有所了解,中的描述為,它在SSL認(rèn)證過程中有非常重要的作用。說白了,CA就是一個組織,專門為網(wǎng)絡(luò)服務(wù)器頒發(fā)證書的,國際知名的CA機(jī)構(gòu)有VeriSign、Symantec,國內(nèi)的有GlobalSign。每一家CA都有自己的根證書,用來對它所簽發(fā)過的服務(wù)器端證書進(jìn)行驗(yàn)證。

如果服務(wù)器提供方想為自己的服務(wù)器申請證書,它就需要向CA機(jī)構(gòu)提出申請。服務(wù)器提供方向CA提供自己的身份信息,CA判明申請者的身份后,就為它分配一個公鑰,并且CA將該公鑰和服務(wù)器身份綁定在一起,并為之簽字,這就形成了一個服務(wù)器端證書。

如果一個用戶想鑒別另一個證書的真?zhèn)?,他就?CA 的公鑰對那個證書上的簽字進(jìn)行驗(yàn)證,一旦驗(yàn)證通過,該證書就被認(rèn)為是有效的。證書實(shí)際是由證書簽證機(jī)關(guān)(CA)簽發(fā)的對用戶的公鑰的認(rèn)證。

證書的內(nèi)容包括:電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。目前,證書的格式和驗(yàn)證方法普遍遵循X.509 國際標(biāo)準(zhǔn)。

雙向認(rèn)證 SSL 協(xié)議的具體過程

① 瀏覽器發(fā)送一個連接請求給安全服務(wù)器。

② 服務(wù)器將自己的證書,以及同證書相關(guān)的信息發(fā)送給客戶瀏覽器。

③ 客戶瀏覽器檢查服務(wù)器送過來的證書是否是由自己信賴的 CA 中心所簽發(fā)的。如果是,就繼續(xù)執(zhí)行協(xié)議;如果不是,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的,詢問客戶是否需要繼續(xù)。

④ 接著客戶瀏覽器比較證書里的消息,例如和公鑰,與服務(wù)器剛剛發(fā)送的相關(guān)消息是否一致,如果是一致的,客戶瀏覽器認(rèn)可這個服務(wù)器的合法身份。

⑤ 服務(wù)器要求客戶發(fā)送客戶自己的證書。收到后,服務(wù)器驗(yàn)證客戶的證書,如果沒有通過驗(yàn)證,拒絕連接;如果通過驗(yàn)證,服務(wù)器獲得用戶的公鑰。

⑥ 客戶瀏覽器告訴服務(wù)器自己所能夠支持的通訊對稱密碼方案。

⑦ 服務(wù)器從客戶發(fā)送過來的密碼方案中,選擇一種加密程度最高的密碼方案,用客戶的公鑰加過密后通知瀏覽器。

⑧ 瀏覽器針對這個密碼方案,選擇一個通話密鑰,接著用服務(wù)器的公鑰加過密后發(fā)送給服務(wù)器。

⑨ 服務(wù)器接收到瀏覽器送過來的消息,用自己的私鑰解密,獲得通話密鑰。

⑩ 服務(wù)器、瀏覽器接下來的通訊都是用對稱密碼方案,對稱密鑰是加過密的。

如何自己創(chuàng)建證書

每個證書發(fā)布機(jī)構(gòu)都有自己的用來創(chuàng)建證書的工具,當(dāng)然,具體他們怎么去創(chuàng)建一個證書的我也不太清楚,不同類型的證書都有一定的格式和規(guī)范,我沒有仔細(xì)去研究過這部分內(nèi)容。微軟為我們提供了一個用來創(chuàng)建證書的工具makecert.exe,在安裝Visual Studio的時候會安裝上。如果沒有安裝也無所謂,可以上創(chuàng)新互聯(lián)去下一個,搜索makecert就可以了。可以直接從我的博客下載,這是鏈接。

向一些正規(guī)的證書發(fā)布機(jī)構(gòu)申請證書一般是要收費(fèi)的(因?yàn)閯e人要花時間檢查你的身份,確認(rèn)有沒有同名的證書等等),這里我們看下如何自己創(chuàng)建一個證書,為后面在IIS中配置Https做準(zhǔn)備。

相信大家看完之后都會有自己的感觸,我們的網(wǎng)絡(luò)信息和我們的日常生活息息相關(guān),自主的保護(hù)才能使我們的生活免受打擾,因此進(jìn)行雙向ssl認(rèn)證非常的重要。


創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),龍子湖企業(yè)網(wǎng)站建設(shè),龍子湖品牌網(wǎng)站建設(shè),網(wǎng)站定制,龍子湖網(wǎng)站建設(shè)報(bào)價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,龍子湖網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿,時刻以成就客戶成長自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

網(wǎng)頁題目:雙向ssl認(rèn)證原理及相關(guān)過程
URL鏈接:http://www.muchs.cn/article24/iopoce.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機(jī)網(wǎng)站建設(shè)、小程序開發(fā)移動網(wǎng)站建設(shè)、App開發(fā)營銷型網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)