前些日子,由于搞exchange2007才开始真正接触微软的证书服务,发现证书加密这个东西虽说很小但是很重要。故将我所理解的证书加密大家说说仅供参考,欢迎指正。
先说说加密的前世今生,其实就是简单的几句话。以前,人们为了防止在消息传递过程中的被其他人截获并读取。所以将发出的信息通过某种加密的方式发送。真正的内容只能由拥有解密方法(如:密码本)的消息传递双方读取。我们称这种方法叫对称加密。顾名思义,双方的解码方法一样。后来,人们发现这种对称加密有一些弊端,比如如果信息传递的任何一方将解密方法泄露,那加密就无从谈起。故密码专家们就发明了另一种方法“非对称加密”。所谓非对称加密是指信息传递双方,各有一个密钥。一个公钥、一个私钥然后进行加密解密的数据传输工作。首先要讲一下什么是密钥。所谓密钥(以下特指网络传输)其实就是我们常说的证书,那什么是证书哪?证书就是有一些证书颁发机构所颁发的用于加密和身份认证的东西。那什么又是证书颁发机构哪?就是有一些有权威和公信力的机构。说到这估计大家已经觉得厌烦啦。因为几乎所有的教程都是这么介绍的,对吧!这样做个比喻,我们把证书比作×××。哪么公安局作为具有公信力的机关就是证书颁发机构。在现实世界里我们拿着公安局颁发的×××来证明自己的身份是最有公信力的。同理拿着受信任的证书颁发机构颁发的证书也是网络世界最好的×××明方式。费了半天话,说明了一下证书和颁发机构。哪证书又是如何来进行加密的哪。其实我觉得原理很好理解。就是拥有相同受信任的证书颁发机构证书的双方,一个拿公钥(就是对外公开的证书,比如根证书),另一个拿私钥(就是颁发给个人或者服务器的比如说颁发给exchange服务器的证书就是私钥)。用公钥或私钥加密的数据只能由对方的私钥或公钥来解密。其具体的过程哪exchange2007举个例子:我为exchange2007的owa申请了一个证书。在我访问owa的时候(前提是我在本地已经正确的,也就是将公钥------根证书,导入到了受信任的证书颁发机构里)owa上的信息由颁发给exchange的证书进行了加密,我这边再用我事先安装好的根证书来解密。当然我发到owa上的数据也是由根证书加密的,然后再由exchange上的私钥解密的。这就是加密解密的全过程。
最后说说证书报错吧,这也是我以前没有理解的地方。在验证证书是否正确的时候经常会检查三个方面证书名称、有效期及证书是否来自信任的颁发机构。以上的任意一条没有配置成功都不能实现ssl的加密。最好的证明就是在配置outlook anywhere的时候,如果证书有误是怎么也建立不了https连接的。
转载于:https://blog.51cto.com/yjw1983/280971
