数字证书学习笔记-创新互联
Pki
太湖ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联公司的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:028-86922220(备注:SSL证书合作)期待与您的合作!公共密钥基础结构,加密方法标准
应用:例:https://
加密技术:
对称加密:
加密密钥与解密密钥是同一个密钥(key),不适合在网络中使用,因为密钥必须由加密方发给解密方,有可能被截获。
密钥维护量大,因为任意两个通讯对象都需要一个密钥。N*(n-1)/2
优势是加密效率高。
非对称加密:
公钥、私钥成对使用,一方加密,另一方解密。公钥推导不出私钥,但在数学上是有关联的,它们由一个随机数利用不同的函数公式计算生成。
每个用户仅需要一个密钥对,适合互联网使用
缺点是加密效率低。
安全性由密钥长度决定的
56位密钥破解需3.5或21分钟
128位密钥破解需5.4*10 18次方式年
安全标准:
1. 成本标准:成本高于收益
2. 时间有效期:数据失效后被破解
非对称加密细节:
发送方:
用对称密钥加密文件数据(效率高),用公钥加密对称密钥。一并发送给接收方。
接收方:
用私钥解密对称密钥,用对称密钥解密文件数据。
优势:效率高,安全性好
数字签名:
作用:防止签名者抵赖,接收方确信信息来源,信息内容不能更改
细节:私钥签名,公钥确认
对要传输的文件进行哈希计算,得到一固定散列值(也称“摘要”),或称作该文件的“指纹”,发送方用自己的私钥对“摘要”加密(签名),把加密后的摘要、公钥、文件数据三者一并发给接收方(不保证信息加密,但能保确认信息是由谁发出的)。
接受方收到后,用哈希算法得到所接收文件的“摘要”,用收到的公钥解密收到的已经加密的摘要,两者对照,如果一致说明接收的文件确是发送方发送的且内容没有被篡改。
如果有对方的公钥,才可以向对方发送加密文件(用对方的公钥加密)。没有则不可以。
只有有私钥时,才可以进行数字签名。数字签名目的不是使文件内容保密,只是为了验证发送方是谁、发送内容不能更改、不能否认
既签名又加密:
把加密后的摘要、自己的公钥、文件数据三者用对方(接收方)的公钥加密
摘要用自己的私钥加密,起到数字签名的作用。三者用对方的公钥加密,达到了加密的目的。
证书颁发机构CA:身份公立,不参与商业组织,不以盈利为目的,它有自已的公钥和私钥
在计算机中非对称密钥是以数字证书的形式存在的。
单位可以用自己的资料向该CA机构发出申请,CA机构对单位资料进行真实性核实。确认无误后,CA机构向申请单位发送由CA机构签名的数字证书(公钥私钥)。此时申请单位的公钥和私钥中总是保存有CA机构的数字签名。当它用自己的私钥加密文件或摘要时,总携带有CA机构的数字签名。接受方通过持有的CA机构的公钥就可以验证发送方的公钥是否真实合法。
所以用CA的公钥验证发送方的公钥中CA的私钥签名(以此来确定发送方的公钥是否真实)是信任发送方的大前提。
数字证书
内容
CRL分发点:是吊销证书列表,客户端可以访问该机构的吊销证书列表,以确定发送方的证书是否已经被声明吊销(作废),如果已经吊销,则不再信任发送端!
主题:是使用者的信息
通俗地讲:颁证机构颁发给用户的是密钥对及附加在其上的CA机构签名,并且CA机构在互联网上是可查的。
CA种类:
企业CA:在域环境中为域中的用户和计算机颁发证书。不需要管理员颁发。颁发者在线!
独立CA:为互联网上的用户和企业颁证,开放式。根颁发机构可以离线。提供证书吊销列表的CA必须在线.
根CA:一般给子CA发证
子CA:给用户发证。
企业中如何使用PKI技术实现安全:
企业CA可以做为独立CA的子CA,(企业向独立CA申请发证),企业CA再向企业内部部门颁发证书,只要部门信任独立CA就可以了,部门也可以此CA向企业外的部门发送数据,企业外部门信任独立CA即可。
强制刷新组策略:
运行 gpupdate /force
只能用申请数字证书时绑定的邮箱发送签名和加密的邮件。否则无法签名或加密。
数字证书导出时,必须导出私钥,防止机器重新安装系统或损坏导致证书丢失!
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
分享题目:数字证书学习笔记-创新互联
文章URL:http://pwwzsj.com/article/dohops.html