-
當(dāng)前位置:首頁 > 創(chuàng)意學(xué)院 > 景觀設(shè)計 > 專題列表 > 正文
數(shù)字證書詳解(數(shù)字證書的使用流程)
大家好!今天讓小編來大家介紹下關(guān)于數(shù)字證書詳解的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。
創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,相關(guān)業(yè)務(wù)請撥打電話:175-8598-2043,或添加微信:1454722008
文章目錄列表:
一、https證書可靠嗎,可信嗎
不可信,Firefox、IE等瀏覽器對不受信的安全證書會出現(xiàn)提醒,如果確認(rèn)是證書的問題,用的或者是自簽名ssl證書?;蛘呤窍到y(tǒng)代理問題,如果選的使用系統(tǒng)代理,改成自動就可以了。
自簽名ssl證書不安全,瀏覽器不認(rèn)可。如果是一般的ssl證書,那確認(rèn)下頒發(fā)證書的機構(gòu)是否受信任,也就是其根證書有沒有入根到瀏覽器中。受信任的機構(gòu)國外有GlobalSign、Comodo、Go Daddy、 Digicert ,國內(nèi)的GDCA。
https原理:證書傳遞、驗證和數(shù)據(jù)加密、解密過程解析:
1、客戶端發(fā)起HTTPS請求
用戶在瀏覽器里輸入一個https網(wǎng)址,然后連接到server的443端口。
2、服務(wù)端的配置
采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書,可以自己制作,也可以向組織申請。區(qū)別就是自己頒發(fā)的證書需要客戶端驗證通過,才可以繼續(xù)訪問,而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇,有1年的免費服務(wù))。這套證書其實就是一對公鑰和私鑰。
3、送證書
這個證書其實就是公鑰,只是包含了很多信息,如證書的頒發(fā)機構(gòu),過期時間等等。
4、客戶端解析證書
這部分工作是有客戶端的TLS來完成的,首先會驗證公鑰是否有效,比如頒發(fā)機構(gòu),過期時間等等,如果發(fā)現(xiàn)異常,則會彈出一個警告框,提示證書存在問題。
如果證書沒有問題,那么就生成一個隨機值。然后用證書對該隨機值進(jìn)行加密。就好像上面說的,把隨機值用鎖頭鎖起來,這樣除非有鑰匙,不然看不到被鎖住的內(nèi)容。
5、傳送加密信息
這部分傳送的是用證書加密后的隨機值,目的就是讓服務(wù)端得到這個隨機值,以后客戶端和服務(wù)端的通信就可以通過這個隨機值來進(jìn)行加密解密了。
6、服務(wù)端解密信息
服務(wù)端用私鑰解密后,得到了客戶端傳過來的隨機值(私鑰),然后把內(nèi)容通過該值進(jìn)行對稱加密。所謂對稱加密就是,將信息和私鑰通過某種算法混合在一起,這樣除非知道私鑰。
不然無法獲取內(nèi)容,而正好客戶端和服務(wù)端都知道這個私鑰,所以只要加密算法夠彪悍,私鑰夠復(fù)雜,數(shù)據(jù)就夠安全。
7、傳輸加密后的信息
這部分信息是服務(wù)端用私鑰加密后的信息,可以在客戶端被還原
8、客戶端解密信息
客戶端用之前生成的私鑰解密服務(wù)端傳過來的信息,于是獲取了解密后的內(nèi)容。整個過程第三方即使監(jiān)聽到了數(shù)據(jù),也束手無策。
二、https認(rèn)證要這么弄,要申請https證書嗎?
https是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。https認(rèn)證即申請https證書,以下詳解一下https證書申請的步驟:
第一步、提交CSR文件
首先需要生成SSL證書申請文件CSR(Certificate Signing Request)。選擇要申請的SSL證書,提交訂單,并將制生成的CSR文件提一起交到所在的SSL CA頒發(fā)機構(gòu)。
第二步、提交訂單到證書服務(wù)機構(gòu)CA
在收到SSL證書訂單和證書請求CSR文件后,系統(tǒng)初步驗證無誤自動提交訂單到證書服務(wù)機構(gòu)CA。
第三步、發(fā)送驗證郵件到管理員郵箱
證書服務(wù)機構(gòu)(主要包括Comodo / RapidSSL / GeoTrust / Symantec / Thawte / VeriSign)在收到證書申請文件CSR 文件系統(tǒng)自動發(fā)送驗證郵件到域名管理員郵箱。
第四步、用戶確認(rèn)驗證郵件
進(jìn)入郵箱后,點擊郵件中的鏈接訪問證書服務(wù)機構(gòu)驗證網(wǎng)站,查看訂單信息,確認(rèn)無誤后點擊確認(rèn)完成郵件驗證。
第五步、證書機構(gòu)簽發(fā)證書
域名型證書DV SSL一般在用戶完成確認(rèn)驗證郵件后1-24小時簽發(fā)證書;企業(yè)型證書OV SSL 與 增強型證書EV SSL需要證書服務(wù)機構(gòu)人工驗證,驗證時間比較長,需要7-15個工作日驗證通過后簽發(fā)證書;成功簽發(fā)的證書通過郵件發(fā)送到用戶訂購郵箱,也可登錄用戶中心查詢證書,這樣網(wǎng)站就能夠成功使用SSL證書了。
三、勾選認(rèn)證詳解及常見問題分析
一、勾選認(rèn)證與掃描認(rèn)證異同
與傳統(tǒng)掃描認(rèn)證相比,勾選認(rèn)證有了很大的不同,具體如下圖:
二、勾選認(rèn)證操作
第一步,插上金稅盤或者稅控盤,打開etax.hntax. gov.cn,點擊“增值稅專票勾選認(rèn)證”(可無需登錄電子稅務(wù)局)。
第二步:登錄勾選認(rèn)證平臺,密碼為數(shù)字證書密碼。
第三步:點擊“發(fā)票勾選”,進(jìn)入勾選認(rèn)證界面,按圖中紅色標(biāo)記所示選擇相對應(yīng)的查詢條件,點擊“查詢”。
第四步:選擇需要勾選認(rèn)證的發(fā)票,點擊“保存”,提示保存成功。
第五步:點擊“勾選確認(rèn)”進(jìn)入確認(rèn)界面,按圖中紅色標(biāo)記所示選擇條件,點擊“查詢”。
第六步:選擇已經(jīng)勾選但未確認(rèn)的發(fā)票,點擊“確認(rèn)”,然后按照提示如圖所示進(jìn)行操作,至此發(fā)票勾選認(rèn)證操作已經(jīng)完成。
點擊“抵扣統(tǒng)計”可以查詢抵扣的所有情況。
三、注意事項
1、勾選認(rèn)證不代表已經(jīng)確認(rèn),必須進(jìn)行“確認(rèn)勾選”之后才能進(jìn)入當(dāng)期抵扣。
2、申報期內(nèi)可以多次勾選認(rèn)證。
3、如果在勾選認(rèn)證平臺沒有查詢到發(fā)票信息但又確實已經(jīng)開具,可晚些時候再進(jìn)行操作,有可能對方的開具信息沒有上傳至系統(tǒng)。
4、勾選認(rèn)證期限跟掃描認(rèn)證期限一致,2017年6月30日前開具的為180天,2017年7月1日后開具的為360天。
5、使用該平臺需要使用數(shù)字證書,如果出現(xiàn)數(shù)字證書相關(guān)的安全提醒,請參照下文進(jìn)行操作后再認(rèn)證。 設(shè)置信任證書
6、只能選擇所屬期以前日期開具的且未過期的發(fā)票,例如5月份進(jìn)行稅款所屬期4月份的勾選認(rèn)證,那么只能勾選認(rèn)證4月30日前開具的發(fā)票,以開具日期為準(zhǔn)。
四、SSL+socket 詳解-概念
SSL協(xié)議采用數(shù)字證書及數(shù)字簽名進(jìn)行雙端實體認(rèn)證,用非對稱加密算法進(jìn)行密鑰協(xié)商,用對稱加密算法將數(shù)據(jù)加密后進(jìn)行傳輸以保證數(shù)據(jù)的保密性,并且通過計算數(shù)字摘要來驗證數(shù)據(jù)在傳輸過程中是否被篡改和偽造,從而為敏感數(shù)據(jù)的傳輸提供了一種安全保障手段。
SSL協(xié)議提供的服務(wù)主要有:
1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器
認(rèn)證用戶和服務(wù)器的合法性,使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上??蛻魴C和服務(wù)器都有各自的識別號,這些識別號由公開密鑰進(jìn)行編號,為驗證用戶是否合法,SSL協(xié)議要求在握手交換數(shù)據(jù)時進(jìn)行數(shù)字認(rèn)證,以此確保用戶的合法性。
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取
SSL協(xié)議所采用的加密技術(shù)既有對稱密鑰技術(shù),也有公開密鑰技術(shù)。在客戶機和服務(wù)器進(jìn)行數(shù)據(jù)交換前,交換SSL初始握手信息,在SSL握手信息中采用了各種加密技術(shù)對其進(jìn)行加密,以保證其機密性和數(shù)據(jù)的完整性,并且用數(shù)字證書進(jìn)行鑒別,這樣就可以防止非法用戶進(jìn)行破譯。
3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變
SSL協(xié)議采用Hash函數(shù)和機密共享的方法提供信息的完整性服務(wù),建立客戶機和服務(wù)器之間的安全通道,使所有經(jīng)過SSL協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準(zhǔn)確無誤的到達(dá)目的地。
SSL體系結(jié)構(gòu):
SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間,使用TCP來提供一種可靠的端到端的安全服務(wù),它是客戶/服務(wù)器應(yīng)用之間的通信不被攻擊抓取,并且始終對服務(wù)器進(jìn)行認(rèn)證,還可以選擇對客戶進(jìn)行認(rèn)證。SSL體系結(jié)構(gòu)如圖1所示。
SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間,使用TCP來提供一種可靠的端到端的安全服務(wù),它是客戶/服務(wù)器應(yīng)用之間的通信不被攻擊抓取,并且始終對服務(wù)器進(jìn)行認(rèn)證,還可以選擇對客戶進(jìn)行認(rèn)證。
在SSL通訊中,首先采用非對稱加密交換信息,使得服務(wù)器獲得瀏覽器端提供的對稱加密的密鑰,然后利用該密鑰進(jìn)行通訊過程中信息的加密和解密。為了保證消息在傳遞過程中沒有被篡改,可以加密HASH編碼來確保信息的完整性。SSL通訊過程,如圖2所示。
一般情況下,當(dāng)客戶端是保密信息的傳遞者時,客戶端不需要數(shù)字證書驗證自己身份的真實性,如電子銀行的應(yīng)用,客戶需要將自己的賬號和密碼發(fā)送給銀行,因此銀行的服務(wù)器需要安裝數(shù)字證書來表明自己身份的有效性。在某些應(yīng)用中,服務(wù)器端也需要對客戶端的身份進(jìn)行驗證,這時客戶端也需要安裝數(shù)字證書以保證通訊時服務(wù)器可以辨別出客戶端的身份,驗證過程類似于服務(wù)器身份的驗證過程。
SSL Socket通信是對Socket通信的拓展。在Socket通信的基礎(chǔ)上添加了一層安全性保護(hù),提供了更高的安全性,包括身份驗證、數(shù)據(jù)加密以及完整性驗證。
SSL Socket雙向認(rèn)證實現(xiàn)技術(shù): JSSE(Java Security Socket Extension ),它實現(xiàn)了SSL和TSL(傳輸層安全)協(xié)議。在JSSE中包含了數(shù)據(jù)加密,服務(wù)器驗證,消息完整性和客戶端驗證等技術(shù)。通過使用JSSE,可以在客戶機和服務(wù)器之間通過TCP/IP協(xié)議安全地傳輸數(shù)據(jù)。為了實現(xiàn)消息認(rèn)證:
密鑰和授權(quán)證書的生成方法:
使用Java自帶的keytool命令,在命令行生成。
1、生成服務(wù)器端私鑰kserver.keystore文件
keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore
2、根據(jù)私鑰,導(dǎo)出服務(wù)器端安全證書
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
3、將服務(wù)器端證書,導(dǎo)入到客戶端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
4、生成客戶端私鑰kclient.keystore文件
keytool -genkey -alias clientkey -validity 1 -keystore kclient.keystore
5、根據(jù)私鑰,導(dǎo)出客戶端安全證書
keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
6、將客戶端證書,導(dǎo)入到服務(wù)器端的Trust KeyStore中
keytool -import -alias clientkey -file client.crt -keystore tserver.keystore
生成的文件分成兩組,服務(wù)器端保存:kserver.keystore tserver.keystore 客戶端保存:kclient.keystore tclient.kyestore。
客戶端采用kclient.keystore中的私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給服務(wù)端,服務(wù)器端采用tserver.keystore中的client.crt證書對數(shù)據(jù)解密,如果解密成功,證明消息來自可信的客戶端,進(jìn)行邏輯處理; 服務(wù)器端采用kserver.keystore中的私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給客戶端,客戶端采用tclient.keystore中的server.crt證書對數(shù)據(jù)解密,如果解密成功,證明消息來自可信的服務(wù)器端,進(jìn)行邏輯處理。如果解密失敗,那么證明消息來源錯誤。不進(jìn)行邏輯處理。
SSL Socket雙向認(rèn)證的安全性:
(1)可以確保數(shù)據(jù)傳送到正確的服務(wù)器端和客戶端。
(2)可以防止消息傳遞過程中被竊取。
(3)防止消息在傳遞過程中被修改.。
在系統(tǒng)運行中可能出現(xiàn)以下情況:
(1) 服務(wù)器端、客戶端都持有正確的密鑰和安全證書,此時服務(wù)器端和客戶端可以進(jìn)行正常通信。
(2) 客戶端的密鑰和安全證書不正確,此時服務(wù)器端和客戶端不可以進(jìn)行正常通信。
(3) 客戶端未持有密鑰和安全證書,此時服務(wù)器端和客戶端也不可以進(jìn)行正常通信。
以上就是小編對于數(shù)字證書詳解問題和相關(guān)問題的解答了,如有疑問,可撥打網(wǎng)站上的電話,或添加微信。
推薦閱讀:
智慧數(shù)字經(jīng)營3.0加盟費用(柚見鮮茶加盟費需要多少錢)
數(shù)字化營銷發(fā)展趨勢(數(shù)字化營銷發(fā)展趨勢對從業(yè)人員提出的要求)
為什么excel功能欄點不了(為什么excel功能欄點不了數(shù)字)
現(xiàn)在開網(wǎng)店賣什么最掙錢(現(xiàn)在開網(wǎng)店賣什么最賺錢)