浅谈https\ssl\数字证书(2)ITeye - 超凡娱乐

浅谈https\ssl\数字证书(2)ITeye

2019年02月27日15时13分48秒 | 作者: 运晟 | 标签: 证书,数字证书,客户端 | 浏览: 1257

数字证书

由上面的评论可以知道,数字证书在ssl传输过程中扮演身份认证和密钥分发的功用。终究什么是数字证书呢?

简而言之数字证书是一种网络上证明持有者身份的文件,一起还包括有公钥。一方面,既然是文件那么就有或许“假造”,因而,证书的真伪就需求一个验证办法;另一方面,验证方需求认同这种验证办法。

关于第一个需求,现在的解决方案是,证书可以由世界上公认的证书组织颁布,这些组织是公认的信赖组织,一些验证证书的客户端应用程序:比方浏览器,邮件客户端等,关于这些组织颁布的证书彻底信赖。当然想要请这些组织颁布证书可是要付“到了斯”的,一般在windows布置体系的时分会让客户端装置咱们自己效劳器的根证书,这样客户端相同可以信赖咱们的证书。

关于第二个需求,客户端程序一般经过保护一个“根受信赖组织列表”,当收到一个证书时,检查这个证书是否是该列表中的组织颁布的,假如是则这个证书是可信赖的,不然就不信赖。

证书的信赖

因而作为一个https的站点需求与一个证书绑定,无论如何,证书总是需求一个组织颁布的,这个组织可以是世界公认的证书组织,也可以是任何一台装置有证书效劳的计算机。客户端是否可以信赖这个站点的证书,首要取决于客户端程序是否导入了证书颁布者的根证书。下图说明晰这个流程:

 

有时一个证书组织或许授权另一个证书组织颁布证书,这样就呈现了证书链。

IE浏览器在验证证书的时分首要从下面三个方面调查,只需有任何一个不满足都将给出正告

1、证书的颁布者是否在“根受信赖的证书颁布组织列表”中

2、证书是否过期

3、证书的持有者是否和拜访的网站共同

别的,浏览器还会定时检查证书颁布者发布的“证书撤消列表”,假如某个证书尽管契合上述条件,可是被它的颁布者在“证书撤消列表”中列出,那么也将给出正告。每个证书的CRL Distribution Point字段显现了检查这个列表的url。尽管如此,windows关于这个列表是“不灵敏”的,也就是说windows的api会缓存这个列表,直到设置的缓存过期才会再从CRL Distribution Point中下载新的列表。现在,只能经过在证书颁布效劳端尽量小的设置这个有效期(最小1天),来尽量使windows的客户端“灵敏”些。详细设置办法为(winserver2003):

进入办理职工具- 证书组织- 右击某个证书效劳下的“撤消的证书”目录- 特点:

 

按图中的设置,将CRL发布周期改为1天。

IIS中布置根据数字证书的https网站

在IIS6中构建一个https网站需求如下几个关键过程:

装置CA认证效劳:此过程不是必要的。假如网络中还没有那台主机装置过CA认证效劳,或许的确需求建个新的CA认证效劳,那么就需求在某台主机上装置CA认证效劳。这是windows自带的功用,默许不装置。假如装了,就意味这这台主机具有颁布证书的才能,只需装置有这台主机的根证书的客户端会信赖这台主机颁布的证书。在windows server 2003中的装置过程,详见

向CA认证效劳提交证书请求,并将取得的证书跟网站绑定:详见

要求客户端导入根证书,以使客户端信赖该证书:详见

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章