概念
数字证书也称公钥证书,是由证书认证机构(CA)签名的,包含公开密钥拥有者信息、公开密钥、签发者信息、有效期、以及扩展信息的一种数据结构。
数字证书基本信息域
序号 | 项目名 | 描述 |
1 | version | 版本号 |
2 | serialNumber | 序列号 |
3 | signature | 签名算法 |
4 | issuer | 颁发者 |
5 | validity | 有效日期 |
6 | subject | 主体 |
7 | subjectPublicKeyInfo | 主体公钥信息 |
8 | issuerUniqueID | 颁发者唯一标识符 |
9 | subjectUniqueId | 主体唯一标识符 |
10 | extensions | 扩展项 |
CA也就是颁发者用自己的私钥对这个证书进行签名。这样的证书就是CA颁发的证书。
举个流程的例子,小明去访问一个https的网站,浏览器拿到这个ssl证书后,先看这个证书是那个机构颁发的,如果这个机构是可信任的(浏览器里面默认都配置好了),就去拿他的公钥去解密这个证书,如果解密成功,就说明这个证书的确是这个CA机构颁布的,并且真实有效的。
数字证书分类
按类别分类:个人证书、机构证书、设备证书;
数字证书按用途分为:
签名证书:
签名证书:用于证明签名公钥的数字证书;
加密证书:用于证明加密公钥的数字证书;
Diffie-Hellman密钥交换协议(DH算法)
安全通信的双方用DH方法确定对称密钥。然后用这个密钥进行加解密。逻辑,通过传一些参数,用对方的公钥和自己的私钥再通过一个公开的密钥算法,得出对称加密密钥。
DH密钥交换协议基于求解离散对数问题的困难性,RSA是大素数分解,这个要区分。
SSH
SSH(安全外壳协议)是基于公钥的安全应用协议,由SSH传输层协议、SSH用户认证协议和SSH连接协三个子协议组成,实现加密认证、完整性检查等多种安全服务。
·SSH传输层协议提供算法协商和密钥交换,并实现服务器的认证,最终形成一个机密的安全连接,该安全连接提供完整性、保密性、压缩选项服务。
·SSH用户认证协议:用于向服务器提供客户端用户鉴别功能。利用传输层服务来建立连接,使用传统的口令认证、公钥认证、主机认证等多种机制认证用户。
·SSH连接协议在前面两个协议的基础上,利用已建立的认证连接,将多个加密隧道分成逻辑通道。它运行在用户认证协议上,提供交互式登录话路、远程命令执行、转发TCP/IP连接等。
