CA證書與https講解
1.什么是CA證書洼裤。
◇ 普通的介紹信
想必大伙兒都聽說過介紹信的例子吧拄查?假設(shè) A 公司的張三先生要到 B 公司去拜訪拙徽,但是 B 公司的所有人都不認(rèn)識他恰矩,他咋辦捏仿便?常用的辦法是帶公司開的一張介紹信迄沫,在信中說:茲有張三先生前往貴公司辦理業(yè)務(wù)稻扬,請給予接洽......云云。然后在信上敲上A公司的公章羊瘩。
張三先生到了 B 公司后泰佳,把介紹信遞給 B 公司的前臺李四小姐。李小姐一看介紹信上有 A 公司的公章尘吗,而且 A 公司是經(jīng)常和 B 公司有業(yè)務(wù)往來的逝她,這位李小姐就相信張先生不是歹人了。
這里睬捶,A公司就是CA證書
◇ 引入中介機(jī)構(gòu)的介紹信
好黔宛,回到剛才的話題。如果和 B 公司有業(yè)務(wù)往來的公司很多擒贸,每個公司的公章都不同臀晃,那前臺就要懂得分辨各種公章,非常滴麻煩酗宋。所以积仗,有某個中介公司 C,發(fā)現(xiàn)了這個商機(jī)蜕猫。C公司專門開設(shè)了一項“代理公章”的業(yè)務(wù)寂曹。
今后,A 公司的業(yè)務(wù)員去 B 公司,需要帶2個介紹信:
介紹信1
含有 C 公司的公章及 A 公司的公章隆圆。并且特地注明:C 公司信任 A 公司漱挚。
介紹信2
僅含有 A 公司的公章,然后寫上:茲有張三先生前往貴公司辦理業(yè)務(wù)渺氧,請給予接洽......云云旨涝。
某些不開竅的同學(xué)會問了,這樣不是增加麻煩了嗎侣背?有啥好處捏白华?
主要的好處在于,對于接待公司的前臺贩耐,就不需要記住各個公司的公章分別是啥樣子的弧腥;他/她只要記住中介公司 C 的公章即可。當(dāng)他/她拿到兩份介紹信之后潮太,先對介紹信1的 C 公章管搪,驗明正身;確認(rèn)無誤之后铡买,再比對介紹信1和介紹信2的兩個 A 公章是否一致更鲁。如果是一樣的,那就可以證明介紹信2是可以信任的了奇钞。
◇ 什么是證書澡为?
“證書”洋文也叫“digital certificate”或“public key certificate”(專業(yè)的解釋看“這里”)。
它是用來證明某某東西確實是某某東西的東西(是不是像繞口令景埃?)缀壤。通俗地說,證書就好比例子里面的公章纠亚。通過公章塘慕,可以證明該介紹信確實是對應(yīng)的公司發(fā)出的。
理論上蒂胞,人人都可以找個證書工具图呢,自己做一個證書。那如何防止壞人自己制作證書出來騙人捏骗随?請看后續(xù) CA 的介紹蛤织。
◇ 什么是CA?
CA是Certificate Authority的縮寫鸿染,也叫“證書授權(quán)中心”指蚜。(專業(yè)的解釋看“這里”)
它是負(fù)責(zé)管理和簽發(fā)證書的第三方機(jī)構(gòu),就好比例子里面的中介——C 公司涨椒。一般來說摊鸡,CA必須是所有行業(yè)和所有公眾都信任的绽媒、認(rèn)可的。因此它必須具有足夠的權(quán)威性免猾。就好比A是辕、B兩公司都必須信任C公司,才會找 C 公司作為公章的中介猎提。
◇ 什么是CA證書获三?
CA 證書,顧名思義锨苏,就是CA頒發(fā)的證書疙教。
前面已經(jīng)說了,人人都可以找工具制作證書伞租。但是你一個小破孩制作出來的證書是沒啥用處的松逊。因為你不是權(quán)威的CA機(jī)關(guān),你自己搞的證書不具有權(quán)威性肯夏。
這就好比上述的例子里,某個壞人自己刻了一個公章犀暑,蓋到介紹信上驯击。但是別人一看,不是受信任的中介公司的公章耐亏,就不予理睬徊都。壞蛋的陰謀就不能得逞啦。
文本后續(xù)提及的證書广辰,若無特殊說明暇矫,均指 CA 證書。
2.證書的簽發(fā)過程:
a.服務(wù)方 S 向第三方機(jī)構(gòu)CA提交公鑰择吊、組織信息李根、個人信息(域名)等信息并申請認(rèn)證;
b.CA 通過線上几睛、線下等多種手段驗證申請者提供信息的真實性房轿,如組織是否存在、企業(yè)是否合法所森,是否擁有域名的所有權(quán)等囱持;
c.如信息審核通過,CA 會向申請者簽發(fā)認(rèn)證文件-證書焕济。
證書包含以下信息:申請者公鑰纷妆、申請者的組織信息和個人信息、簽發(fā)機(jī)構(gòu) CA 的信息晴弃、有效時間掩幢、證書序列號等信息的明文逊拍,同時包含一個簽名;
簽名的產(chǎn)生算法:首先粒蜈,使用散列函數(shù)計算公開的明文信息的信息摘要顺献,然后,采用 CA 的私鑰對信息摘要進(jìn)行加密枯怖,密文即簽名注整;
d.客戶端 C 向服務(wù)器 S 發(fā)出請求時,S 返回證書文件度硝;
e.客戶端 C 讀取證書中的相關(guān)的明文信息肿轨,采用相同的散列函數(shù)計算得到信息摘要,然后蕊程,利用對應(yīng) CA 的公鑰解密簽名數(shù)據(jù)椒袍,對比證書的信息摘要,如果一致藻茂,則可以確認(rèn)證書的合法性驹暑,即公鑰合法;
f.客戶端然后驗證證書相關(guān)的域名信息辨赐、有效時間等信息优俘;
g.客戶端會內(nèi)置信任 CA 的證書信息(包含公鑰),如果CA不被信任掀序,則找不到對應(yīng) CA 的證書帆焕,證書也會被判定非法。
在這個過程注意幾點:
1.申請證書不需要提供私鑰不恭,確保私鑰永遠(yuǎn)只能服務(wù)器掌握叶雹;
2.證書的合法性仍然依賴于非對稱加密算法,證書主要是增加了服務(wù)器信息以及簽名换吧;
3.內(nèi)置 CA 對應(yīng)的證書稱為根證書折晦,頒發(fā)者和使用者相同,自己為自己簽名沾瓦,即自簽名證書筋遭;
4.證書=公鑰+申請者與頒發(fā)者信息+簽名;
http通信存在的問題
- 容易被監(jiān)聽
- http通信都是明文暴拄,數(shù)據(jù)在客戶端與服務(wù)器通信過程中漓滔,任何一點都可能被劫持。比如乖篷,發(fā)送了銀行卡號和密碼响驴,hacker劫取到數(shù)據(jù),就能看到卡號和密碼撕蔼,這是很危險的
- 被偽裝
- http通信時豁鲤,無法保證通行雙方是合法的秽誊,通信方可能是偽裝的。比如你請求www.taobao.com,你怎么知道返回的數(shù)據(jù)就是來自淘寶琳骡,中間人可能返回數(shù)據(jù)偽裝成淘寶锅论。
- 被篡改
- hacker中間篡改數(shù)據(jù)后,接收方并不知道數(shù)據(jù)已經(jīng)被更改
共享密鑰加密和公開密鑰加密
后續(xù)內(nèi)容的需要楣号,這里插播一段共享密鑰加密和公開密鑰加密
- 共享密鑰加密
- 共享密鑰的加密密鑰和解密密鑰是相同的最易,所以又稱為對稱密鑰
- 公開密鑰加密
- 加密算法是公開的,密鑰是保密的炫狱。公開密鑰分為私有密鑰和公有密鑰藻懒,公有密鑰是公開的,任何人(客戶端)都可以獲取视译,客戶端使用公有密鑰加密數(shù)據(jù)嬉荆,服務(wù)端用私有密鑰解密數(shù)據(jù)。
- 異同
- 共享密鑰加密與公開密鑰加密相比酷含,加解密處理速度快鄙早,但公開密鑰更適應(yīng)互聯(lián)網(wǎng)下使用
https解決的問題
https很好的解決了http的三個缺點(被監(jiān)聽、被篡改椅亚、被偽裝)限番,https不是一種新的協(xié)議,它是http+SSL(TLS)的結(jié)合體什往,SSL是一種獨立協(xié)議,所以其它協(xié)議比如smtp等也可以跟ssl結(jié)合慌闭。https改變了通信方式别威,它由以前的http—–>tcp,改為http——>SSL—–>tcp驴剔;https采用了共享密鑰加密+公開密鑰加密的方式
- 防監(jiān)聽
- 數(shù)據(jù)是加密的省古,所以監(jiān)聽得到的數(shù)據(jù)是密文,hacker看不懂丧失。
- 防偽裝
- 偽裝分為客戶端偽裝和服務(wù)器偽裝豺妓,通信雙方攜帶證書,證書相當(dāng)于身份證布讹,有證書就認(rèn)為合法琳拭,沒有證書就認(rèn)為非法,證書由第三方頒布描验,很難偽造
- 防篡改
- https對數(shù)據(jù)做了摘要白嘁,篡改數(shù)據(jù)會被感知到。hacker即使從中改了數(shù)據(jù)也白搭膘流。
https連接過程
- 客戶端發(fā)送請求到服務(wù)器端
- 服務(wù)器端返回證書和公開密鑰絮缅,公開密鑰作為證書的一部分而存在
- 客戶端驗證證書和公開密鑰的有效性鲁沥,如果有效,則生成共享密鑰并使用公開密鑰加密發(fā)送到服務(wù)器端
- 服務(wù)器端使用私有密鑰解密數(shù)據(jù)耕魄,并使用收到的共享密鑰加密數(shù)據(jù)画恰,發(fā)送到客戶端
- 客戶端使用共享密鑰解密數(shù)據(jù)
- SSL加密建立………
客戶端認(rèn)證的通信的過程
- 客戶端需要認(rèn)證的過程跟服務(wù)器端需要認(rèn)證的過程基本相同,并且少了最開始的兩步吸奴。這種情況都是證書存儲在客戶端允扇,并且應(yīng)用場景比較少,一般金融才使用奄抽,比如支付寶蔼两、銀行客戶端都需要安裝證書
后續(xù)的問題
- 怎樣保證公開密鑰的有效性
- 你也許會想到,怎么保證客戶端收到的公開密鑰是合法的逞度,不是偽造的额划,證書很好的完成了這個任務(wù)。證書由權(quán)威的第三方機(jī)構(gòu)頒發(fā)档泽,并且對公開密鑰做了簽名俊戳。
- https的缺點
- https保證了通信的安全,但帶來了加密解密消耗計算機(jī)cpu資源的問題 馆匿,不過抑胎,有專門的https加解密硬件服務(wù)器
- 各大互聯(lián)網(wǎng)公司,百度渐北、淘寶阿逃、支付寶、知乎都使用https協(xié)議赃蛛,為什么恃锉?
- 支付寶涉及到金融,所以出于安全考慮采用https這個呕臂,可以理解破托,為什么百度、知乎等也采用這種方式歧蒋?為了防止運營商劫持土砂!http通信時,運營商在數(shù)據(jù)中插入各種廣告谜洽,用戶看到后萝映,怒火發(fā)到互聯(lián)網(wǎng)公司,其實這些壞事都是運營商(移動阐虚、聯(lián)通锌俱、電信)干的,用了https,運營商就沒法插播廣告篡改數(shù)據(jù)了敌呈。
4.比較完整的過程:
**1. 客戶端發(fā)起HTTPS請求**
這個沒什么好說的贸宏,就是用戶在瀏覽器里輸入一個https網(wǎng)址造寝,然后連接到server的443端口。
**2. 服務(wù)端的配置**
采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書吭练,可以自己制作诫龙,也可以向組織申請。區(qū)別就是自己頒發(fā)的證書需要客戶端驗證通過鲫咽,才可以繼續(xù)訪問签赃,而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇,有1年的免費服務(wù))分尸。這套證書其實就是一對公鑰和私鑰锦聊。如果對公鑰和私鑰不太理解,可以想象成一把鑰匙和一個鎖頭箩绍,只是全世界只有你一個人有這把鑰匙孔庭,你可以把鎖頭給別人,別人可以用這個鎖把重要的東西鎖起來材蛛,然后發(fā)給你圆到,因為只有你一個人有這把鑰匙,所以只有你才能看到被這把鎖鎖起來的東西卑吭。
3. 傳送證書
這個證書其實就是公鑰芽淡,只是包含了很多信息,如證書的頒發(fā)機(jī)構(gòu)豆赏,過期時間等等挣菲。
4. 客戶端解析證書
這部分工作是有客戶端的TLS來完成的,首先會驗證公鑰是否有效掷邦,比如頒發(fā)機(jī)構(gòu)白胀,過期時間等等,如果發(fā)現(xiàn)異常耙饰,則會彈出一個警告框纹笼,提示證書存在問題纹份。如果證書沒有問題苟跪,那么就生成一個隨機(jī)值。然后用證書對該隨機(jī)值進(jìn)行加密蔓涧。就好像上面說的件已,把隨機(jī)值用鎖頭鎖起來,這樣除非有鑰匙元暴,不然看不到被鎖住的內(nèi)容篷扩。
5. 傳送加密信息
這部分傳送的是用證書加密后的隨機(jī)值,目的就是讓服務(wù)端得到這個隨機(jī)值茉盏,以后客戶端和服務(wù)端的通信就可以通過這個隨機(jī)值來進(jìn)行加密解密了鉴未。
6. 服務(wù)段解密信息
服務(wù)端用私鑰解密后枢冤,得到了客戶端傳過來的隨機(jī)值(私鑰),然后把內(nèi)容通過該值進(jìn)行對稱加密铜秆。所謂對稱加密就是淹真,將信息和私鑰通過某種算法混合在一起,這樣除非知道私鑰连茧,不然無法獲取內(nèi)容核蘸,而正好客戶端和服務(wù)端都知道這個私鑰,所以只要加密算法夠彪悍啸驯,私鑰夠復(fù)雜客扎,數(shù)據(jù)就夠安全。
7. 傳輸加密后的信息
這部分信息是服務(wù)段用私鑰加密后的信息罚斗,可以在客戶端被還原徙鱼。
8. 客戶端解密信息
客戶端用之前生成的私鑰解密服務(wù)段傳過來的信息,于是獲取了解密后的內(nèi)容惰聂。整個過程第三方即使監(jiān)聽到了數(shù)據(jù)疆偿,也束手無策。
5.總結(jié)整個過程:
1.服務(wù)器向CA機(jī)構(gòu)獲取證書(假設(shè)這個證書偽造不了)搓幌,當(dāng)瀏覽器首次請求服務(wù)器的時候杆故,服務(wù)器返回證書給瀏覽器。(證書包含:公鑰+申請者與頒發(fā)者的相關(guān)信息+簽名)
2.瀏覽器得到證書后溉愁,開始驗證證書的相關(guān)信息处铛,證書有效(沒過期等)。(驗證過程拐揭,比較復(fù)雜撤蟆,詳見上文)。
3.驗證完證書后堂污,如果證書有效家肯,客戶端是生成一個隨機(jī)數(shù),然后用證書中的公鑰進(jìn)行加密盟猖,加密后讨衣,發(fā)送給服務(wù)器,服務(wù)器用私鑰進(jìn)行解密式镐,得到隨機(jī)數(shù)反镇。之后雙方便開始用該隨機(jī)數(shù)作為鑰匙,對要傳遞的數(shù)據(jù)進(jìn)行加密娘汞、解密歹茶。
關(guān)于https:http://blog.csdn.net/wangjun5159/article/details/51510594
引用參考博客:http://kb.cnblogs.com/page/194742/
關(guān)于https的誤解:http://www.admin5.com/article/20150523/600106.shtml
6.https 正式測試
準(zhǔn)備cfssl環(huán)境
mkdir /root/ssl_test
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /root/ssl_test/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /root/ssl_test/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /root/ssl_test/cfssl-certinfo chmod +x /root/ssl_test/cfssl*
生成ca證書
- 準(zhǔn)備配置文件
cd /root/ssl_test;mkdir keys;cd keys
cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"app": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
EOF
cat > ca-csr.json <<EOF
{
"CN": "k8s",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF
- 執(zhí)行命令生成ca文件
../cfssl gencert -initca ca-csr.json | cfssljson -bare ca
生成server證書
cat > app-csr.json <<EOF
{
"CN": "*.ma.com",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF
../cfssl gencert -ca=/root/keys/ca.pem \
-ca-key=/root/keys/ca-key.pem \
-config=/root/keys/ca-config.json \
-profile=app app-csr.json | cfssljson -bare app
# openssl x509 -noout -text -in app.pem
進(jìn)行驗證
-
導(dǎo)入證書
ca.pem改名為ca.crt。將正式導(dǎo)入瀏覽器。
構(gòu)建https服務(wù)
cd /root/ssl_test
cat > http-server.js <<EOF
var https = require('https');
var fs = require('fs');
var options = {
key: fs.readFileSync('./keys/app-key.pem'),
cert: fs.readFileSync('./keys/app.pem')
};
https.createServer(options, function (req, res) {
res.writeHead(200);
res.end('hello world');
}).listen(8000);
EOF
yum install nodejs -y
npm install https -g
node http-server.js
-
修改hosts文件添加
192.168.0.158 *.ma.com在瀏覽器訪問https://www.ma.com:8000 發(fā)現(xiàn)網(wǎng)站顯示為安全
7. 證書各個字段的含義
openssl x509 -noout -text -in app.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
58:af:a5:d6:10:10:e1:99:8c:e9:92:29:ef:57:2f:e0:00:a4:12:5c
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=k8s
Validity
Not Before: Sep 11 06:02:00 2018 GMT
Not After : Sep 11 06:02:00 2019 GMT
Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=*.ma.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:23:ef:e1:54:f8:e9:ae:6a:8e:53:db:79:ab:
fc:48:9f:6b:d7:f8:25:a4:ed:8c:06:60:bc:a3:8e:
7c:42:5f:ac:d7:23:ba:e1:41:0e:8a:20:26:c9:42:
59:d5:a2:4d:e8:c6:5a:9c:7f:8b:bc:d0:b2:14:a5:
da:19:d4:a3:be:7e:53:9c:f4:23:2d:5b:00:69:51:
cf:ec:53:eb:7e:a7:5c:ce:e2:6d:61:ea:42:e4:54:
5f:19:f0:6a:b8:27:e1:69:83:d9:65:90:df:f9:65:
73:7d:12:83:c2:6d:50:f9:0a:e8:3a:e5:3b:bd:b1:
32:7b:a5:23:a7:fd:77:c1:cc:b6:d6:ab:71:3e:ef:
83:33:e4:67:e0:76:f8:0e:58:89:6e:d5:fb:ad:d2:
9e:18:ff:1d:a5:bc:af:73:8d:b8:11:af:8b:63:b0:
75:3d:f9:12:c3:9f:55:9e:c5:fe:cd:29:ce:e9:05:
c4:6b:34:4b:6c:81:9b:d0:b7:62:d6:29:d7:50:a5:
61:b1:5f:2e:c0:89:21:0f:70:bc:de:60:ff:65:c3:
0f:62:b6:9c:b8:b2:b4:af:a2:cc:a0:30:5c:b1:59:
7d:eb:bb:a9:8d:b1:d0:e7:93:2d:85:65:cf:75:e9:
d6:d9:cd:03:ae:b6:ad:9b:c8:f7:29:16:ef:66:32:
9c:1b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Subject Key Identifier:
E1:3A:88:BD:83:B6:32:BF:8F:59:49:90:39:AA:6B:B8:0A:FA:24:61
X509v3 Authority Key Identifier:
keyid:5A:39:96:24:77:5E:23:FC:EF:85:CA:C9:6A:06:FC:73:EB:56:0A:CE
X509v3 Subject Alternative Name:
DNS:*.ma.com
Signature Algorithm: sha256WithRSAEncryption
32:89:a7:f1:e6:8a:b8:0f:0f:4d:26:d0:a0:f7:b3:ec:79:ca:
b3:9d:2d:ec:40:87:4c:d9:68:82:cf:1d:fa:60:9c:5b:19:07:
be:9d:85:05:2c:db:0a:b8:eb:3d:05:79:6e:5b:b9:ea:07:cf:
ac:ec:14:c6:f5:90:0d:73:c7:66:c3:f8:f8:f6:18:6c:c6:c6:
e9:0c:7d:6a:5f:af:9c:dd:26:68:3c:e5:fb:4b:70:c0:e7:b5:
11:65:18:31:fb:6f:69:1f:8c:b0:1e:dc:f4:14:1c:5d:45:02:
fa:08:1a:1c:f8:5c:7e:a9:72:19:c1:93:c2:51:30:a9:e5:f7:
54:5e:62:fe:01:8c:49:3a:80:4c:0c:87:82:de:31:ab:3d:5b:
a1:6b:5a:13:0a:a2:41:d4:1b:bd:ff:2c:8d:7c:cc:e4:34:29:
3c:0a:89:a0:ef:54:95:22:2f:2e:b8:72:2d:56:20:65:7b:b2:
c4:5c:3e:16:00:cb:f3:ec:1f:5a:03:64:02:e7:32:c2:44:7d:
4c:73:bc:6b:9f:c4:40:00:c7:67:27:be:66:8a:f6:5b:39:2c:
4b:b3:a5:b0:69:fa:a0:94:36:c5:9f:56:0f:66:28:9e:b4:35:
54:47:3c:44:d7:e1:6f:47:59:56:82:4c:a2:cc:10:88:b7:5f:
8a:7d:50:fc
數(shù)字證書中主題(Subject)中字段的含義
- 一般的數(shù)字證書產(chǎn)品的主題通常含有如下字段:
| 字段名 | 字段值 |
|---|---|
| 公用名稱 (Common Name) | 簡稱:CN 字段惊豺,對于 SSL 證書燎孟,一般為網(wǎng)站域名;而對于代碼簽名證書則為申請單位名稱尸昧;而對于客戶端證書則為證書申請者的姓名缤弦; |
| 單位名稱 (Organization Name) | 簡稱:O 字段,對于 SSL 證書彻磁,一般為網(wǎng)站域名碍沐;而對于代碼簽名證書則為申請單位名稱;而對于客戶端單位證書則為證書申請者所在單位名稱衷蜓; |
- 證書申請單位所在地
| 字段名 | 字段值 |
|---|---|
| 所在城市 (Locality) | 簡稱:L 字段 |
| 所在省份 (State/Provice) | 簡稱:S 字段 |
| 所在國家 (Country) | 簡稱:C 字段累提,只能是國家字母縮寫,如中國:CN |
- 其他一些字段
| 字段名 | 字段值 |
|---|---|
| 電子郵件 (Email) | 簡稱:E 字段 |
| 多個姓名字段 | 簡稱:G 字段 |
| 介紹 | Description 字段 |
| 電話號碼: | Phone 字段磁浇,格式要求 + 國家區(qū)號 城市區(qū)號 電話號碼斋陪,如: +86 732 88888888 |
| 地址: | STREET 字段 |
| 郵政編碼: | PostalCode 字段 |
| 顯示其他內(nèi)容 | 簡稱:OU 字段 |
8.單向認(rèn)證雙向認(rèn)證
何為SSL/TLS單向認(rèn)證,雙向認(rèn)證置吓?
單向認(rèn)證指的是只有一個對象校驗對端的證書合法性无虚。
通常都是client來校驗服務(wù)器的合法性。那么client需要一個ca.crt,服務(wù)器需要server.crt,server.key
雙向認(rèn)證指的是相互校驗衍锚,服務(wù)器需要校驗每個client,client也需要校驗服務(wù)器友题。
server 需要 server.key 、server.crt 戴质、ca.crt
client 需要 client.key 度宦、client.crt 、ca.crt
