SSL服務(wù)器證書工作原理

ssl服務(wù)器證書應(yīng)用非常廣泛，常用在金融，電商，保險等各個行業(yè)。只要你的產(chǎn)品和互聯(lián)網(wǎng)有關(guān)，涉及到各種私密保密數(shù)據(jù)，必須安裝ssl安全服務(wù)器證書。

證書是數(shù)字證書的一種，類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。因為配置在服務(wù)器上，也稱為ssl服務(wù)器證書。ssl服務(wù)器證書的主要角色就是為網(wǎng)站的機密數(shù)據(jù)進行加密和隱藏，確保數(shù)據(jù)在傳送中不被改變，即數(shù)據(jù)的完整性，現(xiàn)已成為該領(lǐng)域中全球化的標準。由于ssl技術(shù)已建立到所有主要的瀏覽器和WEB服務(wù)器程序中，因此，僅需安裝服務(wù)器證書就可以激活該功能了，即通過它可以激活ssl協(xié)議，實現(xiàn)數(shù)據(jù)信息在客戶端和服務(wù)器之間的加密傳輸，可以防止數(shù)據(jù)信息的泄露。保證了雙方傳遞信息的安全性，而且用戶可以通過服務(wù)器證書驗證他所訪問的網(wǎng)站是否是真實可靠。

sslssl 來實現(xiàn)安全的通信。

在客戶端與服務(wù)器間傳輸?shù)臄?shù)據(jù)是通過使用對稱算法（如 DES 或 RC4）進行加密的。公用密鑰算法（通常為 RSA）是用來獲得加密密鑰交換和數(shù)字簽名的，此算法使用服務(wù)器的ssl數(shù)字證書中的公用密鑰。有了服務(wù)器的ssl數(shù)字證書，客戶端也可以驗證服務(wù)器的身份。ssl 協(xié)議的版本 1 和 2 只提供服務(wù)器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和服務(wù)器的數(shù)字證書。

ssl 握手

ssl 連接總是由客戶端啟動的。在ssl 會話開始時執(zhí)行 ssl 握手。此握手產(chǎn)生會話的密碼參數(shù)。關(guān)于如何處理 ssl 握手的簡單概述，如下圖所示。此示例假設(shè)已在 Web 瀏覽器 和 Web 服務(wù)器間建立了 ssl 連接。

圖 ssl的客戶端與服務(wù)器端的認證握手

(1) 客戶端發(fā)送列出客戶端密碼能力的客戶端“您好”消息（以客戶端選項順序排序），如 ssl 的版本、客戶端支持的密碼對(加密套件)和客戶端支持的數(shù)據(jù)壓縮方法(哈希函數(shù))。消息也包含 28 字節(jié)的隨機數(shù)。

(2) 服務(wù)器以服務(wù)器“您好”消息響應(yīng)，此消息包含密碼方法（密碼對）和由服務(wù)器選擇的數(shù)據(jù)壓縮方法，以及會話標識和另一個隨機數(shù)。

注意:客戶端和服務(wù)器至少必須支持一個公共密碼對，否則握手失敗。服務(wù)器一般選擇大的公共密碼對。

(3) 服務(wù)器發(fā)送其ssl數(shù)字證書。（服務(wù)器使用帶有 ssl 的 X.509 V3 數(shù)字證書。）

如果服務(wù)器使用 ssl V3，而服務(wù)器應(yīng)用程序（如 Web 服務(wù)器）需要數(shù)字證書進行客戶端認證，則客戶端會發(fā)出“數(shù)字證書請求”消息。在 “數(shù)字證書請求”消息中，服務(wù)器發(fā)出支持的客戶端數(shù)字證書類型的列表和可接受的CA的名稱。

(4) 服務(wù)器發(fā)出服務(wù)器“您好完成”消息并等待客戶端響應(yīng)。

(5) 一接到服務(wù)器“您好完成”消息，客戶端（ Web 瀏覽器）將驗證服務(wù)器的ssl數(shù)字證書的有效性并檢查服務(wù)器的“你好”消息參數(shù)是否可以接受。

如果服務(wù)器請求客戶端數(shù)字證書，客戶端將發(fā)送其數(shù)字證書；或者，如果沒有合適的數(shù)字證書是可用的，客戶端將發(fā)送“沒有數(shù)字證書”警告。此警告僅僅是警告而已，但如果客戶端數(shù)字證書認證是強制性的話，服務(wù)器應(yīng)用程序?qū)箷捠　?/p>

(6) 客戶端發(fā)送“客戶端密鑰交換”消息。此消息包含 pre-master secret（一個用在對稱加密密鑰生成中的 46 字節(jié)的隨機數(shù)字），和 消息認證代碼（ MAC ）密鑰（用服務(wù)器的公用密鑰加密的）。

如果客戶端發(fā)送客戶端數(shù)字證書給服務(wù)器，客戶端將發(fā)出簽有客戶端的專用密鑰的“數(shù)字證書驗證”消息。通過驗證此消息的簽名，服務(wù)器可以顯示驗證客戶端數(shù)字證書的所有權(quán)。

注意: 如果服務(wù)器沒有屬于數(shù)字證書的專用密鑰，它將無法解密 pre-master 密碼，也無法創(chuàng)建對稱加密算法的正確密鑰，且握手將失敗。

(7) 客戶端使用一系列加密運算將 pre-master secret 轉(zhuǎn)化為 master secret，其中將派生出所有用于加密和消息認證的密鑰。然后，客戶端發(fā)出“更改密碼規(guī)范” 消息將服務(wù)器轉(zhuǎn)換為新協(xié)商的密碼對?？蛻舳税l(fā)出的下一個消息（“未完成”的消息）為用此密碼方法和密鑰加密的第一條消息。

(8) 服務(wù)器以自己的“更改密碼規(guī)范”和“已完成”消息響應(yīng)。

(9) ssl 握手結(jié)束，且可以發(fā)送加密的應(yīng)用程序數(shù)據(jù)。

各有關(guān)單位企業(yè)，強烈推薦選用一款適合自己單位業(yè)務(wù)的ssl服務(wù)器安全證書。

本文名稱：SSL服務(wù)器證書工作原理
轉(zhuǎn)載源于：http://www.bm7419.com/news36/102836.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊、自適應(yīng)網(wǎng)站、網(wǎng)站排名、品牌網(wǎng)站建設(shè)、微信公眾號、動態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)