HOME 首頁
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運營
CASE 服務(wù)案例
NEWS 熱點資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    數(shù)字證書詳解(數(shù)字證書的使用流程)

    發(fā)布時間:2023-04-04 23:34:57     稿源: 創(chuàng)意嶺    閱讀: 100        

    大家好!今天讓小編來大家介紹下關(guān)于數(shù)字證書詳解的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,相關(guān)業(yè)務(wù)請撥打電話:175-8598-2043,或添加微信:1454722008

    文章目錄列表:

    數(shù)字證書詳解(數(shù)字證書的使用流程)

    一、https證書可靠嗎,可信嗎

    不可信,Firefox、IE等瀏覽器對不受信的安全證書會出現(xiàn)提醒,如果確認(rèn)是證書的問題,用的或者是自簽名ssl證書?;蛘呤窍到y(tǒng)代理問題,如果選的使用系統(tǒng)代理,改成自動就可以了。

    自簽名ssl證書不安全,瀏覽器不認(rèn)可。如果是一般的ssl證書,那確認(rèn)下頒發(fā)證書的機構(gòu)是否受信任,也就是其根證書有沒有入根到瀏覽器中。受信任的機構(gòu)國外有GlobalSign、Comodo、Go Daddy、 Digicert ,國內(nèi)的GDCA。

    數(shù)字證書詳解(數(shù)字證書的使用流程)

    https原理:證書傳遞、驗證和數(shù)據(jù)加密、解密過程解析:

    1、客戶端發(fā)起HTTPS請求

    用戶在瀏覽器里輸入一個https網(wǎng)址,然后連接到server的443端口。

    2、服務(wù)端的配置

    采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書,可以自己制作,也可以向組織申請。區(qū)別就是自己頒發(fā)的證書需要客戶端驗證通過,才可以繼續(xù)訪問,而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇,有1年的免費服務(wù))。這套證書其實就是一對公鑰和私鑰。

    3、送證書

    這個證書其實就是公鑰,只是包含了很多信息,如證書的頒發(fā)機構(gòu),過期時間等等。

    4、客戶端解析證書

    這部分工作是有客戶端的TLS來完成的,首先會驗證公鑰是否有效,比如頒發(fā)機構(gòu),過期時間等等,如果發(fā)現(xiàn)異常,則會彈出一個警告框,提示證書存在問題。

    如果證書沒有問題,那么就生成一個隨機值。然后用證書對該隨機值進(jìn)行加密。就好像上面說的,把隨機值用鎖頭鎖起來,這樣除非有鑰匙,不然看不到被鎖住的內(nèi)容。

    5、傳送加密信息

    這部分傳送的是用證書加密后的隨機值,目的就是讓服務(wù)端得到這個隨機值,以后客戶端和服務(wù)端的通信就可以通過這個隨機值來進(jìn)行加密解密了。

    6、服務(wù)端解密信息

    服務(wù)端用私鑰解密后,得到了客戶端傳過來的隨機值(私鑰),然后把內(nèi)容通過該值進(jìn)行對稱加密。所謂對稱加密就是,將信息和私鑰通過某種算法混合在一起,這樣除非知道私鑰。

    不然無法獲取內(nèi)容,而正好客戶端和服務(wù)端都知道這個私鑰,所以只要加密算法夠彪悍,私鑰夠復(fù)雜,數(shù)據(jù)就夠安全。

    7、傳輸加密后的信息

    這部分信息是服務(wù)端用私鑰加密后的信息,可以在客戶端被還原

    8、客戶端解密信息

    客戶端用之前生成的私鑰解密服務(wù)端傳過來的信息,于是獲取了解密后的內(nèi)容。整個過程第三方即使監(jiān)聽到了數(shù)據(jù),也束手無策。

    二、https認(rèn)證要這么弄,要申請https證書嗎?

    https是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。https認(rèn)證即申請https證書,以下詳解一下https證書申請的步驟:

    第一步、提交CSR文件

    首先需要生成SSL證書申請文件CSR(Certificate Signing Request)。選擇要申請的SSL證書,提交訂單,并將制生成的CSR文件提一起交到所在的SSL CA頒發(fā)機構(gòu)。

    第二步、提交訂單到證書服務(wù)機構(gòu)CA

    在收到SSL證書訂單和證書請求CSR文件后,系統(tǒng)初步驗證無誤自動提交訂單到證書服務(wù)機構(gòu)CA。

    第三步、發(fā)送驗證郵件到管理員郵箱

    證書服務(wù)機構(gòu)(主要包括Comodo / RapidSSL / GeoTrust / Symantec / Thawte / VeriSign)在收到證書申請文件CSR 文件系統(tǒng)自動發(fā)送驗證郵件到域名管理員郵箱。

    第四步、用戶確認(rèn)驗證郵件

    進(jìn)入郵箱后,點擊郵件中的鏈接訪問證書服務(wù)機構(gòu)驗證網(wǎng)站,查看訂單信息,確認(rèn)無誤后點擊確認(rèn)完成郵件驗證。

    第五步、證書機構(gòu)簽發(fā)證書

    域名型證書DV SSL一般在用戶完成確認(rèn)驗證郵件后1-24小時簽發(fā)證書;企業(yè)型證書OV SSL 與 增強型證書EV SSL需要證書服務(wù)機構(gòu)人工驗證,驗證時間比較長,需要7-15個工作日驗證通過后簽發(fā)證書;成功簽發(fā)的證書通過郵件發(fā)送到用戶訂購郵箱,也可登錄用戶中心查詢證書,這樣網(wǎng)站就能夠成功使用SSL證書了。

    三、勾選認(rèn)證詳解及常見問題分析

    一、勾選認(rèn)證與掃描認(rèn)證異同

           與傳統(tǒng)掃描認(rèn)證相比,勾選認(rèn)證有了很大的不同,具體如下圖:

    二、勾選認(rèn)證操作

           第一步,插上金稅盤或者稅控盤,打開etax.hntax. gov.cn,點擊“增值稅專票勾選認(rèn)證”(可無需登錄電子稅務(wù)局)。

           第二步:登錄勾選認(rèn)證平臺,密碼為數(shù)字證書密碼。

           第三步:點擊“發(fā)票勾選”,進(jìn)入勾選認(rèn)證界面,按圖中紅色標(biāo)記所示選擇相對應(yīng)的查詢條件,點擊“查詢”。

           第四步:選擇需要勾選認(rèn)證的發(fā)票,點擊“保存”,提示保存成功。

           第五步:點擊“勾選確認(rèn)”進(jìn)入確認(rèn)界面,按圖中紅色標(biāo)記所示選擇條件,點擊“查詢”。

           第六步:選擇已經(jīng)勾選但未確認(rèn)的發(fā)票,點擊“確認(rèn)”,然后按照提示如圖所示進(jìn)行操作,至此發(fā)票勾選認(rèn)證操作已經(jīng)完成。

           點擊“抵扣統(tǒng)計”可以查詢抵扣的所有情況。

    三、注意事項

           1、勾選認(rèn)證不代表已經(jīng)確認(rèn),必須進(jìn)行“確認(rèn)勾選”之后才能進(jìn)入當(dāng)期抵扣。

            2、申報期內(nèi)可以多次勾選認(rèn)證。

           3、如果在勾選認(rèn)證平臺沒有查詢到發(fā)票信息但又確實已經(jīng)開具,可晚些時候再進(jìn)行操作,有可能對方的開具信息沒有上傳至系統(tǒng)。

           4、勾選認(rèn)證期限跟掃描認(rèn)證期限一致,2017年6月30日前開具的為180天,2017年7月1日后開具的為360天。

            5、使用該平臺需要使用數(shù)字證書,如果出現(xiàn)數(shù)字證書相關(guān)的安全提醒,請參照下文進(jìn)行操作后再認(rèn)證。 設(shè)置信任證書

           6、只能選擇所屬期以前日期開具的且未過期的發(fā)票,例如5月份進(jìn)行稅款所屬期4月份的勾選認(rèn)證,那么只能勾選認(rèn)證4月30日前開具的發(fā)票,以開具日期為準(zhǔn)。

    四、SSL+socket 詳解-概念

    SSL協(xié)議采用數(shù)字證書及數(shù)字簽名進(jìn)行雙端實體認(rèn)證,用非對稱加密算法進(jìn)行密鑰協(xié)商,用對稱加密算法將數(shù)據(jù)加密后進(jìn)行傳輸以保證數(shù)據(jù)的保密性,并且通過計算數(shù)字摘要來驗證數(shù)據(jù)在傳輸過程中是否被篡改和偽造,從而為敏感數(shù)據(jù)的傳輸提供了一種安全保障手段。

    SSL協(xié)議提供的服務(wù)主要有:

    1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器

    認(rèn)證用戶和服務(wù)器的合法性,使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上??蛻魴C和服務(wù)器都有各自的識別號,這些識別號由公開密鑰進(jìn)行編號,為驗證用戶是否合法,SSL協(xié)議要求在握手交換數(shù)據(jù)時進(jìn)行數(shù)字認(rèn)證,以此確保用戶的合法性。

    2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取

    SSL協(xié)議所采用的加密技術(shù)既有對稱密鑰技術(shù),也有公開密鑰技術(shù)。在客戶機和服務(wù)器進(jìn)行數(shù)據(jù)交換前,交換SSL初始握手信息,在SSL握手信息中采用了各種加密技術(shù)對其進(jìn)行加密,以保證其機密性和數(shù)據(jù)的完整性,并且用數(shù)字證書進(jìn)行鑒別,這樣就可以防止非法用戶進(jìn)行破譯。

    3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變

    SSL協(xié)議采用Hash函數(shù)和機密共享的方法提供信息的完整性服務(wù),建立客戶機和服務(wù)器之間的安全通道,使所有經(jīng)過SSL協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準(zhǔn)確無誤的到達(dá)目的地。

    SSL體系結(jié)構(gòu):

    SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間,使用TCP來提供一種可靠的端到端的安全服務(wù),它是客戶/服務(wù)器應(yīng)用之間的通信不被攻擊抓取,并且始終對服務(wù)器進(jìn)行認(rèn)證,還可以選擇對客戶進(jìn)行認(rèn)證。SSL體系結(jié)構(gòu)如圖1所示。

    SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間,使用TCP來提供一種可靠的端到端的安全服務(wù),它是客戶/服務(wù)器應(yīng)用之間的通信不被攻擊抓取,并且始終對服務(wù)器進(jìn)行認(rèn)證,還可以選擇對客戶進(jìn)行認(rèn)證。

    在SSL通訊中,首先采用非對稱加密交換信息,使得服務(wù)器獲得瀏覽器端提供的對稱加密的密鑰,然后利用該密鑰進(jìn)行通訊過程中信息的加密和解密。為了保證消息在傳遞過程中沒有被篡改,可以加密HASH編碼來確保信息的完整性。SSL通訊過程,如圖2所示。

    一般情況下,當(dāng)客戶端是保密信息的傳遞者時,客戶端不需要數(shù)字證書驗證自己身份的真實性,如電子銀行的應(yīng)用,客戶需要將自己的賬號和密碼發(fā)送給銀行,因此銀行的服務(wù)器需要安裝數(shù)字證書來表明自己身份的有效性。在某些應(yīng)用中,服務(wù)器端也需要對客戶端的身份進(jìn)行驗證,這時客戶端也需要安裝數(shù)字證書以保證通訊時服務(wù)器可以辨別出客戶端的身份,驗證過程類似于服務(wù)器身份的驗證過程。

    SSL Socket通信是對Socket通信的拓展。在Socket通信的基礎(chǔ)上添加了一層安全性保護(hù),提供了更高的安全性,包括身份驗證、數(shù)據(jù)加密以及完整性驗證。

    SSL Socket雙向認(rèn)證實現(xiàn)技術(shù): JSSE(Java Security Socket Extension ),它實現(xiàn)了SSL和TSL(傳輸層安全)協(xié)議。在JSSE中包含了數(shù)據(jù)加密,服務(wù)器驗證,消息完整性和客戶端驗證等技術(shù)。通過使用JSSE,可以在客戶機和服務(wù)器之間通過TCP/IP協(xié)議安全地傳輸數(shù)據(jù)。為了實現(xiàn)消息認(rèn)證:

    密鑰和授權(quán)證書的生成方法:

    使用Java自帶的keytool命令,在命令行生成。

    1、生成服務(wù)器端私鑰kserver.keystore文件

    keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore

    2、根據(jù)私鑰,導(dǎo)出服務(wù)器端安全證書

    keytool -export -alias serverkey -keystore kserver.keystore -file server.crt

    3、將服務(wù)器端證書,導(dǎo)入到客戶端的Trust KeyStore中

    keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

    4、生成客戶端私鑰kclient.keystore文件

    keytool -genkey -alias clientkey -validity 1 -keystore kclient.keystore

    5、根據(jù)私鑰,導(dǎo)出客戶端安全證書

    keytool -export -alias clientkey -keystore kclient.keystore -file client.crt

    6、將客戶端證書,導(dǎo)入到服務(wù)器端的Trust KeyStore中

    keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

    生成的文件分成兩組,服務(wù)器端保存:kserver.keystore tserver.keystore 客戶端保存:kclient.keystore tclient.kyestore。

    客戶端采用kclient.keystore中的私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給服務(wù)端,服務(wù)器端采用tserver.keystore中的client.crt證書對數(shù)據(jù)解密,如果解密成功,證明消息來自可信的客戶端,進(jìn)行邏輯處理; 服務(wù)器端采用kserver.keystore中的私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給客戶端,客戶端采用tclient.keystore中的server.crt證書對數(shù)據(jù)解密,如果解密成功,證明消息來自可信的服務(wù)器端,進(jìn)行邏輯處理。如果解密失敗,那么證明消息來源錯誤。不進(jìn)行邏輯處理。

    SSL Socket雙向認(rèn)證的安全性:

    (1)可以確保數(shù)據(jù)傳送到正確的服務(wù)器端和客戶端。

    (2)可以防止消息傳遞過程中被竊取。

    (3)防止消息在傳遞過程中被修改.。

    在系統(tǒng)運行中可能出現(xiàn)以下情況:

    (1) 服務(wù)器端、客戶端都持有正確的密鑰和安全證書,此時服務(wù)器端和客戶端可以進(jìn)行正常通信。

    (2) 客戶端的密鑰和安全證書不正確,此時服務(wù)器端和客戶端不可以進(jìn)行正常通信。

    (3) 客戶端未持有密鑰和安全證書,此時服務(wù)器端和客戶端也不可以進(jìn)行正常通信。

    以上就是小編對于數(shù)字證書詳解問題和相關(guān)問題的解答了,如有疑問,可撥打網(wǎng)站上的電話,或添加微信。


    推薦閱讀:

    智慧數(shù)字經(jīng)營3.0加盟費用(柚見鮮茶加盟費需要多少錢)

    數(shù)字化營銷發(fā)展趨勢(數(shù)字化營銷發(fā)展趨勢對從業(yè)人員提出的要求)

    為什么excel功能欄點不了(為什么excel功能欄點不了數(shù)字)

    現(xiàn)在開網(wǎng)店賣什么最掙錢(現(xiàn)在開網(wǎng)店賣什么最賺錢)

    小賣部網(wǎng)上進(jìn)貨渠道