解密TLS协议的数字证书的生成验证过程

已于 2022-07-27 21:52:55 修改
阅读量929 收藏 2
点赞数 1
分类专栏: 网络攻防协议实战分析 文章标签: 数字证书 签名 非对称加密 验签
于 2022-07-25 08:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/javajiawei/article/details/125956025
版权
本文深入解析TLS协议中的数字证书,涵盖证书的生成、验证过程,涉及签名、验签、非对称加密等概念。通过证书字段解释、证书生成步骤及证书校验流程,帮助读者理解服务器身份验证的重要性及其工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本篇将讲解一下TLS协议中的数字证书,签名,验签,非对称加密以对称加密等概念和过程,作为我的专栏《计算机网络协议快速入门教程》中的一节。

证书&根证书

数字证书的作用是来证明一个资产的身份,例如在TLS协议中的数字证书往往用来证明服务器的身份,如下图1所示:
在这里插入图片描述
图1
这是一个颁发给blog.youkuaiyun.com的证书,用来表明正在通信的为blog.youkuaiyun.com对应的服务。证书的颁发者是rapidSSL ,有效期为一年。在证书路径得知,CA rapidSSL 的颁发者为DigiCert,如图2所示:

在这里插入图片描述
图2
从图2得知,DigiCert为根证书,根证书的使用者和颁发者均为自身。根证书在整个证书的检验体系中十分的重要,因此通常是提前被预置在操作系统中或者浏览器中的,查看windows中的根证书,如图3:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
数字证书TLS协议详解
悦分享
01-23 235
方法是在客户端中硬编码证书的指纹(Hash值,或者直接保存整个证书的内容也行),在建立 TLS 连接前,先计算使用的证书的指纹是否匹配,否则就中断连接。现实中由于根证书更新缓慢,几乎所有的根证书都还是 RSA 证书,而中间证书与终端实体证书的迭代要快得多,目前已经有不少网站在使用 ECC 证书了。按前面的描述,每个权威认证机构都拥有一个正在使用的根证书,使用它发出几个中间证书后,就会把它离线存储在安全地点,平常仅使用中间证书发终端实体证书。)也定义了可选的服务端请求验证客户端证书的方法。
[ 网络协议篇 ] 一篇文章让你掌握什么是 数字证书 ?什么是SSL ?什么是 TLS
qq_51577576的博客
12-23 6370
[ 网络协议篇 ] 一篇文章让你掌握什么是 数字证书 ?什么是SSL ?什么是 TLS ? 非常全面,看完之后你会有意想不到的收获
TLS交换密钥中的数字证书
qq_23097791的博客
09-19 446
1.证书的必要性: 在进行密钥协商的时候,无法确定对方的身份,问题的根源就在于,大家都可以生成公钥、私钥对,无法确认密钥对到底是谁的。此时就需要比较权威的机构进行认证,这就是数字证书。 2.证书的内容: 一个证书包含下面的具体内容: 证书的发布机构 证书的有效期 公钥 证书所有者(Subject) 签名所使用的算法 指纹以及指纹算法(指纹参考:https://...
TLS协议详解
最新发布
GeniusLS的博客
04-06 1624
万字详解TLS协议,以及如何优化Https
TLS证书生成-openssl基本命令
qq_42288975的博客
09-02 948
其中,Let’s Encrypt是一个提供域名验证SSL证书的开源CA,而其他机构则提供更广泛的证书服务,包括不同验证级别的证书。哈希链接的文件名通常是证书文件名的哈希值,链接指向实际的证书文件。CA证书证书颁发机构(Certificate Authority)颁发的证书,用于在互联网通信中建立信任关系,是SSL/TLS协议实施中不可或缺的一部分,使得传输的数据加密并保证通信安全。可以通过capath方式,按需装载校对端所需的CA证书,指定证书路径,openssl就可以通过路径查找能够使用的证书
CA数字证书构成及验证过程及openssl生成证书
shy871的博客
06-04 1004
CA数字证书的构成与生成过程 网站信息+网站公钥 ==== hash算法 == 》 摘要 ===== CA私钥加密 ====== 》数字签名 网站公钥+网站信息+数字签名========== 构成 ===========》数字证书 客户端B访问服务端A证书过程 Client B======== 访问 ===========》服务端A(返回给B自己的数字证书) Client B: 1)判别证书有效性,证书有效期,证书颁发机构,证书是否被吊销(需连通CA校CRL,CRL有效期,超过有效期浏览器或者服
数字证书生成验证原理
bbhnnvcf的博客
04-03 2941
数字证书的原理 摘录自各个文章,把关键点整合了一下。 CA记为证书发机构 证书生成过程: CA产生一对RSA公私钥。 生成一个文件,记为P,包含:公钥、发者ID、有效期、其他信息。 计算P的hash值,记为H。用私钥对H进行RSA加密,得到S。 则数字证书是(P,S) 别人验证证书过程验证上述数字证书(P,S)过程: 从P中获得公钥,用公钥解密S得到H1。 计算P的hash值,得到H2。 若H1=H2,证明这个证书是有发者发给它的证书。(证书要在有效期内) 若H1!=H2,说明 P被篡改过 或
SSL&TLS协议簇加解密流程
07-25
SSL/TLS协议的加解密流程确保了数据在传输过程中的安全,防止中间人攻击和其他类型的网络安全威胁。同时,它的灵活性允许适应不断变化的安全需求和技术发展,例如支持新的加密算法和更强的密钥交换机制。然而,随着...
公钥私钥加密解密数字证书数字签名详解.docx
05-26
HTTPS 结合了加密解密和数字签名的技术,利用 SSL/TLS 协议实现了数据的加密传输,数字证书确保了公钥的真实性和可靠性,而数字签名则进一步保证了数据的完整性和来源的真实性。这些技术的综合应用为互联网的安全...
数字证书X.509的MbedTLS代码实现Demo
11-11
通过该程序,开发者可以直观地了解数字证书X.509的结构,以及在实际应用中如何通过MbedTLS库来处理和验证证书。 信息安全领域中,数字证书生成、分发、存储和撤销都是需要严格管理的环节。证书生成和分发通常由...
TLS证书验证过程
新手写博客的专栏
09-19 944
证书颁发机构发的根证书内包含根证书颁发机构的公钥,并且该根证书嵌入在浏览器中,然后,根证书颁发机构也会用自己的私钥给中间证书颁发机构产生的证书进行签名,接下来,中间证书颁发机构会用自己的私钥给服务器证书进行签名。所以,连接服务器的用户最终拿到的是包含中间证书颁发机构的证书和服务器证书,用户应当用中间证书颁发机构的公钥验证服务器证书签名,并用保存在自己浏览器的根证书颁发机构的公钥验证中间证书签名,对吗?中间证书签名是由根证书颁发机构发的,客户端验证中间证书是为了建立信任链,以验证服务器证书
wincc与支持不同通讯协议的仪表建立通讯
03-16
wincc与支持不同通讯协议的仪表建立通讯.rar 介绍了关于wincc与支持不同通讯协议的仪表建立通讯的详细说明,提供通讯与网络的技术资料的下载。
TLS/SSL 协议详解(6) SSL 数字证书的一些细节1
叼哥的博客
11-14 847
证书关系到了SSL的众多安全性,比如身份认证,密钥交换。所以有必要单拉出一章来讲证书。本章完善一下前几节中的身份认证的一些缺点。       首先,通过前面讲解,我们知道,证书需要几个重要的字段。例如“拥有者”、“颁发者”、“截止日期”。另外,生成证书的时候会自动生成一份“公钥”以及对应的“私钥”。现在假设我开了一个网站,准备用SSL加密的,需要让全世界信任我这个网站,那么我就需要一个证书,...
TLS 协议TLS 证书生成、配置
巡山小妖008
12-22 3837
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
SSL双向认证的认证模式设置问题
热门推荐
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式: OpenSSL 验证证书模式 OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1866
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
关于数据加解密证书生成
weixin_34309435的博客
08-13 197
1、3DES加解密方案 加密: 工作中需要对接第三方数据源,总是要涉及数据的加解密。 其中一个demo中使用了php的mcrypt函数库,但是php7版本就不建议使用,所以采用openssl代替之。 首先用mcrypt的方式加密数据: $size = mcrypt_get_block_size ( MCRYPT_3DES, 'ecb' ); $input = self::pkcs5_pad ( $...
隐藏在SSL证书背后的技术:TLS 1.3更新进度
蔚可云的博客
02-07 1648
TLS,是我们日常所说的SSL证书背后的协议,保护网站和浏览器之间的安全通讯以及身份验证TLS 1.2在2008年已发行,是目前TLS所有版本中使用时间最长。由于TLS 1.2版本使用广发,深受用户的喜爱。但由于网络安全等级不断提升,是时候推出TLS 1.3。 去年一整年,TLS 1.3仍处于草案阶段。目前,草案二十二是最新版本的TLS。换句话说,目前TLS 1.3仍在修改之中。 为什么花费这么长时间? 第一版的TLS 1.3发布于2014年4月17日,到目前的第二十二版本。这个草案版本不断由Goo
WinCC Runtime V7.5SP2与ET200SP无法通信
weixin_48153993的博客
05-25 4516
S7-1500/S7-1200 CPU 固件版本为 V2.9/4.5 或以上通过 TIA Portal V17 或以上版本支持安全通信 ,为了确保通信伙伴自动“安全”地通信,必须将它们的连接机制设置在尽可能高的安全程序中。为了建立 WinCC Runtime 与新固件版本CPU的连接,需要更换TLS协议证书。4.在WinCC变量管理中导入刚导出的AS数据 ,在连接的弹出菜单中 选择 "AS 符号 ->从文件中加载" 项选择步骤2中导出的ZIP 文件 (Export*.zip)。3. 通信通道中的连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值