SSL服務(wù)器證書工作原理

2021-02-25    分類: 網(wǎng)站建設(shè)

ssl服務(wù)器證書應(yīng)用非常廣泛,常用在金融,電商,保險等各個行業(yè)。只要你的產(chǎn)品和互聯(lián)網(wǎng)有關(guān),涉及到各種私密保密數(shù)據(jù),必須安裝ssl安全服務(wù)器證書。

證書是數(shù)字證書的一種,類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。因為配置在服務(wù)器上,也稱為ssl服務(wù)器證書。ssl服務(wù)器證書的主要角色就是為網(wǎng)站的機密數(shù)據(jù)進行加密和隱藏,確保數(shù)據(jù)在傳送中不被改變,即數(shù)據(jù)的完整性,現(xiàn)已成為該領(lǐng)域中全球化的標(biāo)準(zhǔn)。由于ssl技術(shù)已建立到所有主要的瀏覽器和WEB服務(wù)器程序中,因此,僅需安裝服務(wù)器證書就可以激活該功能了,即通過它可以激活ssl協(xié)議,實現(xiàn)數(shù)據(jù)信息在客戶端和服務(wù)器之間的加密傳輸,可以防止數(shù)據(jù)信息的泄露。保證了雙方傳遞信息的安全性,而且用戶可以通過服務(wù)器證書驗證他所訪問的網(wǎng)站是否是真實可靠。

sslssl 來實現(xiàn)安全的通信。

在客戶端與服務(wù)器間傳輸?shù)臄?shù)據(jù)是通過使用對稱算法(如 DES 或 RC4)進行加密的。公用密鑰算法(通常為 RSA)是用來獲得加密密鑰交換和數(shù)字簽名的,此算法使用服務(wù)器的ssl數(shù)字證書中的公用密鑰。有了服務(wù)器的ssl數(shù)字證書,客戶端也可以驗證服務(wù)器的身份。ssl 協(xié)議的版本 1 和 2 只提供服務(wù)器認證。版本 3 添加了客戶端認證,此認證同時需要客戶端和服務(wù)器的數(shù)字證書。

ssl 握手

ssl 連接總是由客戶端啟動的。在ssl 會話開始時執(zhí)行 ssl 握手。此握手產(chǎn)生會話的密碼參數(shù)。關(guān)于如何處理 ssl 握手的簡單概述,如下圖所示。此示例假設(shè)已在 Web 瀏覽器 和 Web 服務(wù)器間建立了 ssl 連接。


ssl的客戶端與服務(wù)器端的認證握手

(1) 客戶端發(fā)送列出客戶端密碼能力的客戶端“您好”消息(以客戶端選項順序排序),如 ssl 的版本、客戶端支持的密碼對(加密套件)和客戶端支持的數(shù)據(jù)壓縮方法(哈希函數(shù))。消息也包含 28 字節(jié)的隨機數(shù)。

(2) 服務(wù)器以服務(wù)器“您好”消息響應(yīng),此消息包含密碼方法(密碼對)和由服務(wù)器選擇的數(shù)據(jù)壓縮方法,以及會話標(biāo)識和另一個隨機數(shù)。

注意:客戶端和服務(wù)器至少必須支持一個公共密碼對,否則握手失敗。服務(wù)器一般選擇大的公共密碼對。

(3) 服務(wù)器發(fā)送其ssl數(shù)字證書。(服務(wù)器使用帶有 ssl 的 X.509 V3 數(shù)字證書。)

如果服務(wù)器使用 ssl V3,而服務(wù)器應(yīng)用程序(如 Web 服務(wù)器)需要數(shù)字證書進行客戶端認證,則客戶端會發(fā)出“數(shù)字證書請求”消息。在 “數(shù)字證書請求”消息中,服務(wù)器發(fā)出支持的客戶端數(shù)字證書類型的列表和可接受的CA的名稱。

(4) 服務(wù)器發(fā)出服務(wù)器“您好完成”消息并等待客戶端響應(yīng)。

(5) 一接到服務(wù)器“您好完成”消息,客戶端( Web 瀏覽器)將驗證服務(wù)器的ssl數(shù)字證書的有效性并檢查服務(wù)器的“你好”消息參數(shù)是否可以接受。

如果服務(wù)器請求客戶端數(shù)字證書,客戶端將發(fā)送其數(shù)字證書;或者,如果沒有合適的數(shù)字證書是可用的,客戶端將發(fā)送“沒有數(shù)字證書”警告。此警告僅僅是警告而已,但如果客戶端數(shù)字證書認證是強制性的話,服務(wù)器應(yīng)用程序?qū)箷捠 ?/p>

(6) 客戶端發(fā)送“客戶端密鑰交換”消息。此消息包含 pre-master secret(一個用在對稱加密密鑰生成中的 46 字節(jié)的隨機數(shù)字),和 消息認證代碼( MAC )密鑰(用服務(wù)器的公用密鑰加密的)。

如果客戶端發(fā)送客戶端數(shù)字證書給服務(wù)器,客戶端將發(fā)出簽有客戶端的專用密鑰的“數(shù)字證書驗證”消息。通過驗證此消息的簽名,服務(wù)器可以顯示驗證客戶端數(shù)字證書的所有權(quán)。

注意: 如果服務(wù)器沒有屬于數(shù)字證書的專用密鑰,它將無法解密 pre-master 密碼,也無法創(chuàng)建對稱加密算法的正確密鑰,且握手將失敗。

(7) 客戶端使用一系列加密運算將 pre-master secret 轉(zhuǎn)化為 master secret,其中將派生出所有用于加密和消息認證的密鑰。然后,客戶端發(fā)出“更改密碼規(guī)范” 消息將服務(wù)器轉(zhuǎn)換為新協(xié)商的密碼對??蛻舳税l(fā)出的下一個消息(“未完成”的消息)為用此密碼方法和密鑰加密的第一條消息。

(8) 服務(wù)器以自己的“更改密碼規(guī)范”和“已完成”消息響應(yīng)。

(9) ssl 握手結(jié)束,且可以發(fā)送加密的應(yīng)用程序數(shù)據(jù)。

各有關(guān)單位企業(yè),強烈推薦選用一款適合自己單位業(yè)務(wù)的ssl服務(wù)器安全證書。

本文名稱:SSL服務(wù)器證書工作原理
轉(zhuǎn)載源于:http://muchs.cn/news36/102836.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供域名注冊、自適應(yīng)網(wǎng)站、網(wǎng)站排名、品牌網(wǎng)站建設(shè)、微信公眾號、動態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)