深圳ca数字证书申请流程(CA证书的申请及其使用过程)

Posted

篇首语:犀渠玉剑良家子,白马金羁侠少年。本文由小常识网(cha138.com)小编为大家整理,主要介绍了深圳ca数字证书申请流程(CA证书的申请及其使用过程)相关的知识,希望对你有一定的参考价值。

深圳ca数字证书申请流程(CA证书的申请及其使用过程)

上面客户端使用HTTPS与服务器通信中使用到了CA认证,这里可能大家会问为什么不直接使用非对称加密的形式直接进行,首先这里先介绍下非对称加密。

非对称加密:客户端和服务端均拥有一个公有密匙和一个私有密匙。公有密匙可以对外暴露,而私有密匙只有自己可见。

使用公有密匙加密的消息,只有对应的私有密匙才能解开。反过来,使用私有密匙加密的消息,只有公有密匙才能解开。这样客户端在发送消息前,先用服务器的公匙对消息进行加密,服务器收到后再用自己的私匙进行解密。

非对称加密的优点:

非对称加密采用公有密匙和私有密匙的方式,解决了http中消息保密性问题,而且使得私有密匙泄露的风险降低。

因为公匙加密的消息只有对应的私匙才能解开,所以较大程度上保证了消息的来源性以及消息的准确性和完整性。

非对称加密的缺点:

非对称加密时需要使用到接收方的公匙对消息进行加密,但是公匙不是保密的,任何人都可以拿到,中间人也可以。那么中间人可以做两件事,第一件是中间人可以在客户端与服务器交换公匙的时候,将客户端的公匙替换成自己的。这样服务器拿到的公匙将不是客户端的,而是中间人的。服务器也无法判断公匙来源的正确性。第二件是中间人可以不替换公匙,但是他可以截获客户端发来的消息,然后篡改,然后用服务器的公匙加密再发往服务器,服务器将收到错误的消息。

非对称加密的性能相对对称加密来说会慢上几倍甚至几百倍,比较消耗系统资源。正是因为如此,https将两种加密结合了起来。

为了应对上面非对称加密带来的问题,我们就引入了数字证书与数字签名

CA 签发证书的过程,如上图左边部分:

⾸先 CA 会把持有者的公钥、⽤途、颁发者、有效时间等信息打成⼀个包,然后对这些信息进⾏ Hash 计算, 得到⼀个 Hash 值;

然后 CA 会使⽤⾃⼰的私钥将该 Hash 值加密,⽣成 Certificate Signature,也就是 CA 对证书做了签名;

最后将 Certificate Signature 添加在⽂件证书上,形成数字证书;

客户端校验服务端的数字证书的过程,如上图右边部分:

⾸先客户端会使⽤同样的 Hash 算法获取该证书的 Hash 值 H1;

通常浏览器和操作系统中集成了 CA 的公钥信息,浏览器收到证书后可以使⽤ CA 的公钥解密 Certificate Signature 内容,得到⼀个 Hash 值 H2 ;

最后⽐较 H1 和 H2,如果值相同,则为可信赖的证书,否则则认为证书不可信。

故CA认证介入我们的HTTPS连接的过程如下:

1、服务器拥有自己的私钥与公钥

2、服务器将公钥交给CA认证机构,请求给予一份数字证书

3、CA认证机构生成数字证书,并颁发给服务器

4、服务器将带有公钥信息的数字证书发给客户端

5、进入客户端生成对称密钥再进行对接的过程......

关于证书链

事实上,证书的验证过程中还存在⼀个证书信任链的问题,因为我们向 CA 申请的证书⼀般不是根证书签发的, ⽽是由中间证书签发的,⽐如百度的证书,从下图你可以看到,证书的层级有三级:

对于这种三级层级关系的证书的验证过程如下:

客户端收到 baidu.com 的证书后,发现这个证书的签发者不是根证书,就⽆法根据本地已有的根证书中的公钥去验证 baidu.com 证书是否可信。于是,客户端根据 baidu.com 证书中的签发者,找到该证书的颁发机构 是 “GlobalSign Organization Validation CA - SHA256 - G2”,然后向 CA 请求该中间证书。

请求到证书后发现 “GlobalSign Organization Validation CA - SHA256 - G2” 证书是由 “GlobalSign Root CA” 签发的,由于 “GlobalSign Root CA” 没有再上级签发机构,说明它是根证书,也就是⾃签证书。应⽤软件会 检查此证书有否已预载于根证书清单上,如果有,则可以利⽤根证书中的公钥去验证 “GlobalSign Organization Validation CA - SHA256 - G2” 证书,如果发现验证通过,就认为该中间证书是可信的。

“GlobalSign Organization Validation CA - SHA256 - G2” 证书被信任后,可以使⽤ “GlobalSign Organization Validation CA - SHA256 - G2” 证书中的公钥去验证 baidu.com 证书的可信性,如果验证通过,就可以信任 baidu.com 证书。

在这四个步骤中,最开始客户端只信任根证书 GlobalSign Root CA 证书的,然后 “GlobalSign Root CA” 证书信任 “GlobalSign Organization Validation CA - SHA256 - G2” 证书,⽽ “GlobalSign Organization Validation CA - SHA256 - G2” 证书⼜信任 baidu.com 证书,于是客户端也信任 baidu.com 证书。

总括来说,由于⽤户信任 GlobalSign,所以由 GlobalSign 所担保的 baidu.com 可以被信任,另外由于⽤户信任操 作系统或浏览器的软件商,所以由软件商预载了根证书的 GlobalSign 都可被信任。

相关参考

成都商标注册点(成都商标注册,四川地区申请CA证书流程,注意事项)

...整性。四川地区办理CA申请证书流程:1.进入“四川税务数字证书服务中心”官网2.输入公司名点击查询3.出现查询页面点击注册4.完善信息并提交申请资料5.提交申请成都商标注册6.三天内审核通过后,企业将收到

怎么可以加入政府采购(政府采购网CA证书怎么申请?一文带你了解)

政府采购网CA证书怎么申请?相信这是很多招投标人士想了解的问题,为了解开大家的困惑,接下来本文就对此进行详细的介绍。1、生成并提交CSR(证书签署请求)文件CSR文件一般都可以通过在线生成(或服务器上生成),申请人在...

怎么申请产品的专利(发明专利申请流程)

...为稳定且技术价值最高,其保护期长达20年。发明专利的申请:就一项发明创造要求获得专利权的单位或个人,根据专利法及其实施细则的规定向专利局提出专利申请,提交申请文件,缴纳申请费用。因此整个过程尤为严谨,周...

怎么申请著作权保护(音乐版权申请流程及片权引起纠纷)

一、音乐版权申请yybqsq步骤1、申请表:在中心网站,先进行用户注册,在线按要求填写申请,按步骤填写就行,2、提交申请文件:申请人或者代理人按照要求提交登记申请文件。3、该网站是采取收费服务,音乐版权申请yybqsq证...

深圳入户调查流程和注意事项(深圳户口怎么申请)

来了深圳一年多了,今天来写一下,刚来深圳的时候怎么办的户口。因为我刚来是学历入户,不需要去进行积分,所以免去了一些麻烦。如果是学历入户的话,就是登录广东省政务中心网站,在里面申请在职人才引进。前提条件...

深圳入户调查流程和注意事项(深圳户口怎么申请)

来了深圳一年多了,今天来写一下,刚来深圳的时候怎么办的户口。因为我刚来是学历入户,不需要去进行积分,所以免去了一些麻烦。如果是学历入户的话,就是登录广东省政务中心网站,在里面申请在职人才引进。前提条件...

植物检疫证书省内(政务服务面对面丨森林植物及其产品调运检疫许可流程)

...材料:1、单位和个人有效证件(复印件2份)2、产地检疫申请单3、植物产品来源材料(林木采伐调查审批表)发证所需材料:1、单位和个人有效证件(复印件2份)2、《森林植物检疫报检单》(原件2份)3、提交产地检疫合格证...

悉尼大学申请费(小知识丨悉尼大学申请流程)

  申请悉尼大学第1步,先登录学校官网申请页面,注册新账号,填写申请表格。第2步:准备签证材料.第3步:获取COE,之后在去体检。然后获签。  悉尼大学申请材料  本科申请材料:  相应学历证书或在读证明,原...

怎么申请软件著作权证书(最新软件著作权的申请经验-(2021年))

帮公司申请过几十个软件著作权,有点小经验,在这里分享给大家。计算机软件著作权是指软件的开发者或者其他权利人依据有关著作权法律的规定,对于软件作品所享有的各项专有权利。就权利的性质而言,它属于一种民事权...

新药证书申请流程(注射剂行业好消息频传,多款新药临床试验获批)

  【制药网行业动态】注射剂产品包括化学药品、生物制品、中成药三大类,一直以来注射剂都是药企研发生产的重点产品,其市场也在不断扩大。如其中,化药注射剂市场就已由2013年的4085亿增长至2018年的6152亿元。同时,20...