一 PKI 证书体系
概念: 'PKI'、'CA'、'数字证书'、'证书链'、'数字签名'
之前'讲解'的公钥'不同于'https站点所获取的'证书',公钥只是数字证书的'一部分'信息
说明: 以下内容仅作为'个人'笔记
华为云证书管理服务 CCM
① 基础
PKI目前有一系列'标准规范'定义,主要包括:
② CA机构
关键字: root CAs 和 intermediates CAs
1、CA的组织结构是一个'树'结构,多'阶'组成
2、一个root CAs下面包含'多个'intermediates CAs
备注: 而intermediates'又可以包含'多个intermediates CAs
3、root CAs 和 intermediates CAs都可以'颁发证书'给用户
备注: 颁发的证书'分别'是root Certificates和intermediates Certificates,
4、最终'用户用来认证公钥的证书'则被称为'end-user Certificates'
强调: 中间的CA就是'intermediates CAs',它们才会'颁布' end-user certificates
1、根证书 'root certificates' 说明
浏览器和操作系统等都会'内置'一些root certificates,称之为trusted root certificates
2、intermediates certificates的可靠性又如何'保证'呢?
这就是涉及到'证书链', Certificate Chain ,'链式向上'验证证书
证书链
③ 签发证书流程
说明: PKI的以下三个'组件'负责证书的'生命周期'
1、生成'公私钥'之后,把'公钥和个人的身份信息'发起一个'申请'给一个CA认证机构
遗留: '个人'信息包含的内容'后续'讲解
2、CA'审核身份信息'没有问题后
3、接着会用'CA机构自身的私钥'对这些信息进行加密,加密之后生成一个'数字证书'就叫作'公钥证书'
④ 签名与验签流程
思考: 为什么'CA机构'颁发'公钥数字证书'能起到'身份验证'的作用呢?
说明: 通信双方'认证对方'的数字证书时的'细节'
ssl双向验证 ssl_verify_depth的作用 ssl_verify_depth 0 1 2 含义
nginx双向认证配置proxy_ssl_verify_depth详解
遗留:
1、证书的'深度'探究
2、证书'拼接',也即把'中间层CA机构'的证书也放入其中
如何解决缺少中间层导致SSL证书链不完整 openssl如何将证书格式转换为PEM格式
https双向认证
⑤ 证书信任链
证书链 证书信任链图谱 证书信任链
中间人: '权威CA' 机构 就是'中间层代理' CA机构,'区别'根CA机构
补充: 每一个中间CA机构都由'上一层'CA机构做'信用背书' --> '担保'
说明: '校验'证书链
⑥ PKI 公钥基础设施
公钥数字证书的'运作'体系 --> PKI公钥基础设施
说明: 'CRL'比较慢,现在采用'OCSP'
说明: 'PKI'的运作流程
注意事项: 'ECDHE'的TLS通信协议中,'密钥协商'并'不使用'对方证书中的公钥
⑦ 公钥证书类型
各类型SSL证书之间的区别
核心: 不同证书类型适用的'应用'场景、'费用'、'审批流程'、'信任等级'和'安全性'不同
补充: 三者本身的'加密程度'而言是'一样'的,但是对'用户的身份的校验'不同
⑧ 域名类型
如何选择域名类型
关键字: '单域名'、'多域名'、'泛域名'
备注: 如何从'证书'中判断域名的'支持'形式?
⑨ 华为云证书支持的加密算法
重点: 学好'RSA'和'ECC'
后续: 不再从'原理'角度学习,而是从'实战'角度进行理解
遗留: 有些'约定俗成'的名字或者'后缀' --> der、pem、csr、crt
java证书 证书FAQ
二 答疑解惑