SSL证书原理讲解

最新推荐文章于 2024-04-28 17:38:01 发布

转载最新推荐文章于 2024-04-28 17:38:01 发布 · 355 阅读

文章标签：

#SSL证书 #https证书

本文深入介绍数字证书相关知识，包括CA是证书签发机构，证书信任链的概念，公钥密码体制的加密解密过程。还阐述了CA证书的构成信息，如发布机构、有效期等，最后举例说明了CA给公司签发有效证书的流程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一直以来都对数字证书的签发，以及信任等事情一知半解。总算有个闲适的周末来总结和深入一下相关的知识。

CA:
CA(Certificate Authority)是证书的签发机构，它是负责管理和签发证书的第三方机构，是受到广泛信任的机构。一般在我们的电脑中，浏览器里，或者手机里都会内置一批这样的受信机构的根证书。
证书信任链：

比如我是CA机构我签发了一封证书我这份证书是信任B证书的另外B证书又信任了其他的C证书…那么这条链条下去的都可以信任。所以一旦CA机构的根证书不可信了，那么所有由他签发出来的证书将全部变得不可信，后果很严重。
公钥密码体制：

公钥密码体制分为三个部分，公钥、私钥、加密解密算法，它的加密解密过程如下：

加密：通过加密算法和公钥对内容(或者说明文)进行加密，得到密文。加密过程需要用到公钥。
解密：通过解密算法和私钥对密文进行解密，得到明文。解密过程需要用到解密算法和私钥。注意，由公钥加密的内容，只能由私钥进行解密，也就是说，由公钥加密的内容，如果不知道私钥，是无法解密的。
公钥密码体制的公钥和算法都是公开的(这是为什么叫公钥密码体制的原因)，私钥是保密的。大家都以使用公钥进行加密，但是只有私钥的持有者才能解密。在实际的使用中，有需要的人会生成一对公钥和私钥，把公钥发布出去给别人使用，自己保留私钥。
CA证书：

顾名思义CA证书就是由CA机构签发的证书。其实证书谁都可以签，你也可以自己给自己签发证书，但是由于你自己并不是被广泛信任的机构，所以你自己签发的证书并没有什么用。公网也不会信任你的证书。服务器证书包括以下几种信息：

证书的发布机构
证书的有效期
公钥
证书所有者（Subject）
签名所使用的算法
指纹以及指纹算法
◆Issuer (证书的发布机构)

指出是什么机构发布的这个证书，也就是指明这个证书是哪个公司创建的(只是创建证书，不是指证书的使用者)。对于上面的这个证书来说，就是指"SecureTrust CA"这个机构。

◆Valid from , Valid to (证书的有效期)

也就是证书的有效时间，或者说证书的使用期限。过了有效期限，证书就会作废，不能使用了。

◆Public key (公钥)

这个我们在前面介绍公钥密码体制时介绍过，公钥是用来对消息进行加密的，第2章的例子中经常用到的。这个数字证书的公钥是2048位的，它的值可以在图的中间的那个对话框中看得到，是很长的一串数字。

◆Subject (主题)

这个证书是发布给谁的，或者说证书的所有者，一般是某个人或者某个公司名称、机构的名称、公司网站的网址等。对于这里的证书来说，证书的所有者是Trustwave这个公司。
◆Signature algorithm (签名所使用的算法)

就是指的这个数字证书的数字签名所使用的加密算法，这样就可以使用证书发布机构的证书里面的公钥，根据这个算法对指纹进行解密。指纹的加密结果就是数字签名。

◆Thumbprint, Thumbprint algorithm (指纹以及指纹算法)
这个是用来保证证书的完整性的，也就是说确保证书没有被修改过。其原理就是在发布证书时，发布者根据指纹算法(一个hash算法)计算整个证书的hash值(指纹)并和证书放在一起，使用者在打开证书时，自己也根据指纹算法计算一下证书的hash值(指纹)，如果和刚开始的值对得上，就说明证书没有被修改过，因为证书的内容被修改后，根据证书的内容计算的出的hash值(指纹)是会变化的。注意，这个指纹会使用"CA"证书机构的私钥用签名算法(Signature algorithm)加密后和证书放在一起。

CA如何给我们签发一个有效证书：
举个例子方便大家理解，假设我们公司"ABC Company"花了1000块钱，向一个证书发布机构"SecureTrust CA"为我们自己的公司"ABC Company"申请了一张证书，注意，这个证书发布机构"SecureTrust CA"是一个大家公认并被一些权威机构接受的证书发布机构，我们的操作系统里面已经安装了"SecureTrust CA"的证书。"SecureTrust CA"在给我们发布证书时，把Issuer,Public key,Subject,Valid from,Valid to等信息以明文的形式写到证书里面，然后用一个指纹算法计算出这些数字证书内容的一个指纹，并把指纹和指纹算法用自己的私钥进行加密，然后和证书的内容一起发布，同时"SecureTrust CA"还会给一个我们公司"ABC Company"的私钥给到我们。我们花了1000块钱买的这个证书的内容如下：

×××××××××××××××证书内容开始×××××××××××××××××

Issuer : SecureTrust CA

Subject : ABC Company

Valid from ：某个日期

Valid to：某个日期

Public Key : 一串很长的数字

想了解更多有关 SSL证书的具体情况点击详情http://www.51mubanji.com/ssl/进入