网络安全-【数字证书,证书链】,为什么12306订票要弹信任证书

原文链接:http://blog.csdn.net/hherima/article/details/52164422

———————————————–欢迎查看网络安全连载博客———————————–
【网络安全】-安全散列函数,信息摘要SHA-1,MD5算法       【网络安全】-非对称加密,RSA算法,数字签名
【网络安全】-RSA非对称算法算法、数字签名                         【网络安全】-建立安全socket连接、登录
【网络安全】-【数字证书,证书链】
———————————————————————————————————————

数字证书

        证书并不陌生,接触网络的同学应该从浏览器或者操作系统的提示框中了解到,根证书也有所耳闻。这篇文章主要说明证书,证书链和根证书。先说一下【数字证书】主要包含了下面几个关键信息(涉及到网络安全方面的术语,可参考上面的知识链接)

1. Subject (证书持有者信息)
        证书的所有者(创建者),一般是某个人或者某个公司名称、机构的名称、公司网站的网址等。
2. Issuer (证书发行方,或者颁发者)
         指出是什么机构发布的这个证书,也就是指明这个证书是哪个公司创建的(只是创建证书,不是指证书的使用者)
3. Public key (公钥)
        证书的所有者(创建者)的公钥(这个公钥基本没什么用,除非你给别人颁发证书)
4. 数字签名
        发行方用私钥进行的签名
直接上图,打开mac的钥匙串,双击其中一个证书,认识一下证书的构成。
《网络安全-【数字证书,证书链】,为什么12306订票要弹信任证书》

证书链、根证书

        如何验证一个证书C是不是可信任的呢?需要此证书颁发者B的公钥来验证C证书的合法性。颁发者B的公钥又存在于B的证书中。那么问题来了,又怎么去验证B的证书合法性呢。继续这样追究下去没有个头啊。我们用iOS开发中常见的证书来说明这个追究的过程。
        我客户端申请了一个APP证书叫iOS Dev。那么Apple是如何验证这个APP是合法的呢。读者可根据红色的线,从左往右理解:根据iOS Dev的签发者信息,找到签发者是Apple Worldwide Developer Relations Certification。然后根据Apple Worldwide Developer Relations Certification证书的签发者,找到上级证书是Apple Root CA。发现Apple Root CA的持有者跟签发者是同一个人(公司)。那么可以认为这个证书是可信任的(即根证书)。
        有了根证书,开始验证过程蓝色的箭头。如果到达iOS Dev证书一直是验证成功的,说明这个iOS Dev是合法的(在新标签中打开,查看大图)
《网络安全-【数字证书,证书链】,为什么12306订票要弹信任证书》

        所以,Apple Root CA被称为是根证书。一句话概括根证书的构成:根证书自己公钥+自己私钥的签名。这样就有一个好处:根证书的公钥可以验证本证书里的签名。另外:像Apple Worldwide Developer Releations Certification也被成为中级证书。

        上面已经描述了证书验证的过程,下图是证书链的逻辑图:

《网络安全-【数字证书,证书链】,为什么12306订票要弹信任证书》

那么为什么12306会弹证书信任的框呢

        上图证书链中有个 Root CA(Certificate Authority),很多浏览器或者操作系统会内置CA的根证书,然后12306属于自己的系统。并不曾从CA获取证书,所以浏览器和操作系统不认。如图:

《网络安全-【数字证书,证书链】,为什么12306订票要弹信任证书》

把下面这个勾上,那么钥匙串就多了一个证书。这样不用每次访问都提示了《网络安全-【数字证书,证书链】,为什么12306订票要弹信任证书》

        之所以12306不去知名CA认证,我想也是属于政治原因。知名的CA都是国外的。我党为什么要被国外去认证(或者叫盖戳)。

参考文章:

数字证书原理 http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html
证书链http://lukejin.iteye.com/blog/587200

版权声明:原创文章,未经博主允许禁止转载。欢迎点击头像上方“郭晓东的专栏”查看专栏

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注