如何向这些CA来申请数字证书呢?
申請的過程大致是:
1.自己本地先生成一對密匙,然后拿著自己的公匙以及其他信息(比如說企業(yè)名稱啊什么的)去CA申請數(shù)字證書。
2.CA在拿到這些信息后,會選擇一種單向Hash算法(比如說常見的MD5)對這些信息進(jìn)行加密,加密之后的東西我們稱之為摘要。
單向Hash算法有一種特點就是單向不可逆的,只要原始內(nèi)容有一點變化,加密后的數(shù)據(jù)都將會是千差萬別(當(dāng)然也有很小的可能性會重復(fù),有興趣的小伙伴鴿巢原理了解一下),這樣就防止了信息被篡改。
3.生成摘要后還不算完,CA還會用自己的私匙對摘要進(jìn)行加密,摘要加密后的數(shù)據(jù)我們稱之為數(shù)字簽名。
4.最后,CA將會把我們的申請信息(包含服務(wù)器的公匙)和數(shù)字簽名整合在一起,由此而生成數(shù)字證書。然后CA將數(shù)字證書傳遞給我們。
數(shù)字證書怎么起作用呢?
服務(wù)器在獲取到數(shù)字證書后,服務(wù)器會將數(shù)字證書發(fā)送給客戶端,客戶端就需要用CA的公匙解密數(shù)字證書并驗證數(shù)字證書的合法性。
那我們?nèi)绾文苣玫紺A的公匙呢?我們的電腦和瀏覽器中已經(jīng)內(nèi)置了一部分權(quán)威機構(gòu)的根證書,這些根證書中包含了CA的公匙。
之所以是根證書,是因為現(xiàn)實生活中,認(rèn)證中心是分層級的,也就是說有頂級認(rèn)證中心,也有下面的各個子級的認(rèn)證中心,是一個樹狀結(jié)構(gòu),計算機中內(nèi)置的是最頂級機構(gòu)的根證書,不過不用擔(dān)心,根證書的公匙在子級也是適用的。
客戶端用CA的公匙解密數(shù)字證書,如果解密成功則說明證書來源于合法的認(rèn)證機構(gòu)。解密成功后,客戶端就拿到了摘要。
此時,客戶端會按照和CA一樣的Hash算法將申請信息生成一份摘要,并和解密出來的那份做對比,如果相同則說明內(nèi)容完整,沒有被篡改。
最后,客戶端安全的從證書中拿到服務(wù)器的公匙就可以和服務(wù)器進(jìn)行安全的非對稱加密通信了。服務(wù)器想獲得客戶端的公匙也可以通過相同方式。
總結(jié)
以上是生活随笔為你收集整理的如何向这些CA来申请数字证书呢?的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: node-red 安装
- 下一篇: 从相册打开照片