1樓:匿名使用者
tls/ssl的功能實現主要依賴於三類基本演算法:雜湊函式 hash、對稱加密和非對稱加密,其利用非對稱加密實現身份認證和金鑰協商,對稱加密演算法採用協商的金鑰對資料加密,基於雜湊函式驗證資訊的完整性。
解決上述身份驗證問題的關鍵是確保獲取的公鑰途徑是合法的,能夠驗證伺服器的身份資訊,為此需要引入權威的第三方機構ca。ca 負責核實公鑰的擁有者的資訊,並頒發認證"證書",同時能夠為使用者提供證書驗證服務,即pki體系。
基本的原理為,ca負責稽核資訊,然後對關鍵資訊利用私鑰進行"簽名",公開對應的公鑰,客戶端可以利用公鑰驗證簽名。ca也可以吊銷已經簽發的證書,基本的方式包括兩類 crl 檔案和 ocsp。ca使用具體的流程如下:
2樓:山水阿銳
您好,這樣:
(1) 客戶端傳送列出客戶端密碼能力的客戶端“您好”訊息(以客戶端首選項順序排序),如 ssl 的版本、客戶端支援的密碼對(加密套件)和客戶端支援的資料壓縮方法(雜湊函式)。訊息也包含 28 位元組的隨機數。
(2) 伺服器以伺服器“您好”訊息響應,此訊息包含密碼方法(密碼對)和由伺服器選擇的資料壓縮方法,以及會話標識和另一個隨機數。
注意:客戶端和伺服器至少必須支援一個公共密碼對,否則握手失敗。伺服器一般選擇最大的公共密碼對。
(3) 伺服器傳送其ssl數字證書。(伺服器使用帶有 ssl 的 x.509 v3 數字證書。)
如果伺服器使用 ssl v3,而伺服器應用程式(如 web 伺服器)需要數字證書進行客戶端認證,則客戶端會發出“數字證書請求”訊息。在 “數字證書請求”訊息中,伺服器發出支援的客戶端數字證書型別的列表和可接受的ca的名稱。
(4) 伺服器發出伺服器“您好完成”訊息並等待客戶端響應。
(5) 一接到伺服器“您好完成”訊息,客戶端( web 瀏覽器)將驗證伺服器的ssl數字證書的有效性並檢查伺服器的“你好”訊息引數是否可以接受。
如果伺服器請求客戶端數字證書,客戶端將傳送其數字證書;或者,如果沒有合適的數字證書是可用的,客戶端將傳送“沒有數字證書”警告。此警告僅僅是警告而已,但如果客戶端數字證書認證是強制性的話,伺服器應用程式將會使會話失敗。
(6) 客戶端傳送“客戶端金鑰交換”訊息。此訊息包含 pre-master secret (一個用在對稱加密金鑰生成中的 46 位元組的隨機數字),和 訊息認證** ( mac )金鑰(用伺服器的公用金鑰加密的)。
如果客戶端傳送客戶端數字證書給伺服器,客戶端將發出簽有客戶端的專用金鑰的“數字證書驗證”訊息。通過驗證此訊息的簽名,伺服器可以顯示驗證客戶端數字證書的所有權。
注意: 如果伺服器沒有屬於數字證書的專用金鑰,它將無法解密 pre-master 密碼,也無法建立對稱加密演算法的正確金鑰,且握手將失敗。
(7) 客戶端使用一系列加密運算將 pre-master secret 轉化為 master secret ,其中將派生出所有用於加密和訊息認證的金鑰。然後,客戶端發出“更改密碼規範” 訊息將伺服器轉換為新協商的密碼對。客戶端發出的下一個訊息(“未完成”的訊息)為用此密碼方法和金鑰加密的第一條訊息。
(8) 伺服器以自己的“更改密碼規範”和“已完成”訊息響應。
(9) ssl 握手結束,且可以傳送加密的應用程式資料。
3樓:安信ssl證書
ssl數字證書採用公鑰體制,即利用一對du互相匹配zhi的金鑰進行加密、解密。每z個使用者自己設定一把特定的僅為本人所知的私有金鑰(私鑰),用它進行解密和簽名;同時 設定一把公共金鑰(公鑰)並由本人公開,為一組使用者所共享,用於加密和驗證簽名。當傳送一份保密檔案時,傳送方使用接收方的公鑰對資料加密,而接收方則使 用自己的私鑰解密,這樣資訊就可以安全無誤地到達目的地了。
通過數字的手段保證加密過程是一個不可逆過程,即只有用私有金鑰才能解密. 在公開金鑰密碼體制中,常用的一種是rsa體制。 使用者也可以採用自己的私鑰對資訊加以處理,由於金鑰僅為本人所有,這樣就產生了別人無法生成的檔案,也就形成了數字簽名。
採用數字簽名,能夠確認以下兩點:
(1)保證資訊是由簽名者自己簽名傳送的,簽名者不能否認或難以否認;
(2)保證資訊自簽發後到收到為止未曾作過任何修改,簽發的檔案是真實檔案。
ssl工作原理,ssl加密原理,ssl證書怎麼加密
4樓:匿名使用者
ssl 是一個安全協議復,它提供
使用 tcp/ip 的通訊應用製程式間的隱bai私與完整性。
在客戶端du與伺服器間zhi傳輸的資料dao是通過使用對稱演算法(如 des 或 rc4)進行加密的。公用金鑰演算法(通常為 rsa)是用來獲得加密金鑰交換和數字簽名的,此演算法使用伺服器的ssl數字證書中的公用金鑰。有了伺服器的ssl數字證書,客戶端也可以驗證伺服器的身份。
ssl 協議的版本 1 和 2 只提供伺服器認證。版本 3 新增了客戶端認證,此認證同時需要客戶端和伺服器的數字證書。
ssl證書的工作原理?
5樓:聚妍ssl證書
證書主要作用是在ssl握手中,我們來看一下ssl的握手過程:
1. 客戶端提交https請求;
2. 伺服器響應客戶,並把證書公鑰發給客戶端;
3. 客戶端驗證證書公鑰的有效性;
4. 有效後,會生成一個會話金鑰;
5. 用證書公鑰加密這個會話金鑰後,傳送給伺服器;
6. 伺服器收到公鑰加密的會話金鑰後,用私鑰解密,回去會話金鑰;
7. 客戶端與伺服器雙方利用這個會話金鑰加密要傳輸的資料進行通訊。
6樓:運維大咖
ssl 是一個安全協議,它提供使用 tcp/ip 的通訊應用程式間的隱私與完整性。因特網的 超文字傳輸協議(http)使用 ssl 來實現安全的通訊。
在客戶端與伺服器間傳輸的資料是通過使用對稱演算法(如 des 或 rc4)進行加密的。公用金鑰演算法(通常為 rsa)是用來獲得加密金鑰交換和數字簽名的,此演算法使用伺服器的ssl數字證書中的公用金鑰。有了伺服器的ssl數字證書,客戶端也可以驗證伺服器的身份。
ssl 協議的版本 1 和 2 只提供伺服器認證。版本 3 新增了客戶端認證,此認證同時需要客戶端和伺服器的數字證書。
ssl 握手
ssl 連線總是由客戶端啟動的。在ssl 會話開始時執行 ssl 握手。此握手產生會話的密碼引數。
關於如何處理 ssl 握手的簡單概述,如下圖所示。此示例假設已在 web 瀏覽器 和 web 伺服器間建立了 ssl 連線。
圖 ssl的客戶端與伺服器端的認證握手(1) 客戶端傳送列出客戶端密碼能力的客戶端“您好”訊息(以客戶端首選項順序排序),如 ssl 的版本、客戶端支援的密碼對(加密套件)和客戶端支援的資料壓縮方法(雜湊函式)。訊息也包含 28 位元組的隨機數。
(2) 伺服器以伺服器“您好”訊息響應,此訊息包含密碼方法(密碼對)和由伺服器選擇的資料壓縮方法,以及會話標識和另一個隨機數。
注意:客戶端和伺服器至少必須支援一個公共密碼對,否則握手失敗。伺服器一般選擇最大的公共密碼對。
(3) 伺服器傳送其ssl數字證書。(伺服器使用帶有 ssl 的 x.509 v3 數字證書。)
如果伺服器使用 ssl v3,而伺服器應用程式(如 web 伺服器)需要數字證書進行客戶端認證,則客戶端會發出“數字證書請求”訊息。在 “數字證書請求”訊息中,伺服器發出支援的客戶端數字證書型別的列表和可接受的ca的名稱。
(4) 伺服器發出伺服器“您好完成”訊息並等待客戶端響應。
(5) 一接到伺服器“您好完成”訊息,客戶端( web 瀏覽器)將驗證伺服器的ssl數字證書的有效性並檢查伺服器的“你好”訊息引數是否可以接受。
如果伺服器請求客戶端數字證書,客戶端將傳送其數字證書;或者,如果沒有合適的數字證書是可用的,客戶端將傳送“沒有數字證書”警告。此警告僅僅是警告而已,但如果客戶端數字證書認證是強制性的話,伺服器應用程式將會使會話失敗。
(6) 客戶端傳送“客戶端金鑰交換”訊息。此訊息包含 pre-master secret(一個用在對稱加密金鑰生成中的 46 位元組的隨機數字),和 訊息認證**( mac )金鑰(用伺服器的公用金鑰加密的)。
如果客戶端傳送客戶端數字證書給伺服器,客戶端將發出簽有客戶端的專用金鑰的“數字證書驗證”訊息。通過驗證此訊息的簽名,伺服器可以顯示驗證客戶端數字證書的所有權。
注意: 如果伺服器沒有屬於數字證書的專用金鑰,它將無法解密 pre-master 密碼,也無法建立對稱加密演算法的正確金鑰,且握手將失敗。
(7) 客戶端使用一系列加密運算將 pre-master secret 轉化為 master secret,其中將派生出所有用於加密和訊息認證的金鑰。然後,客戶端發出“更改密碼規範” 訊息將伺服器轉換為新協商的密碼對。客戶端發出的下一個訊息(“未完成”的訊息)為用此密碼方法和金鑰加密的第一條訊息。
(8) 伺服器以自己的“更改密碼規範”和“已完成”訊息響應。
(9) ssl 握手結束,且可以傳送加密的應用程式資料。
7樓:安信ssl證書
ssl證書的工作原理:
客戶端向伺服器請求https連線
客戶端向伺服器傳送客戶端ssl協議的版本號,加密演算法的種類,產生的隨機數,以及其他伺服器和客戶端之間通訊所需要的各種資訊。
伺服器確認並返回證書
伺服器向客戶端傳送ssl 協議的版本號,加密演算法的種類,隨機數以及其他相關資訊,同時伺服器還將向客戶端傳送自己的證書。
客戶端驗證伺服器發來的證書
客戶端利用伺服器傳過來的資訊驗證伺服器的合法性,伺服器的合法性包括:證書是否過期,發行伺服器證書的ca 是否可靠,發行者證書的公鑰能否正確解開伺服器證書的“發行者的數字簽名”,伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過,通訊將斷開;如果驗證通過,將繼續進行。
資訊驗證通過,客戶端生成隨機金鑰a,用公鑰加密後發給伺服器
從第③步驗證過的證書裡面可以拿到伺服器的公鑰,客戶端生成的隨機金鑰就使用這個公鑰來加密,加密之後,只有擁有該伺服器(持有私鑰)才能解密出來,保證安全。
伺服器用私鑰解密出隨機金鑰a,以後通訊就用這個隨機金鑰a來對通訊進行加密
這個握手過程並沒有將驗證客戶端身份的邏輯加進去。因為在大多數的情況下,https只是驗證伺服器的身份而已。如果要驗證客戶端的身份,需要客戶端擁有證書,在握手時傳送證書,而這個證書是需要成本的。
ssl證書的工作原理,SSL工作原理是什麼?
聚妍ssl證書 證書主要作用是在ssl握手中,我們來看一下ssl的握手過程 1.客戶端提交https請求 2.伺服器響應客戶,並把證書公鑰發給客戶端 3.客戶端驗證證書公鑰的有效性 4.有效後,會生成一個會話金鑰 5.用證書公鑰加密這個會話金鑰後,傳送給伺服器 6.伺服器收到公鑰加密的會話金鑰後,用...
ssl會話建立的過程(原理)是什麼
哈哈呵呵你好 ssl會話建立過程主要就是加密和解密的過程。主要是利用了非對稱加密來保證密碼的安全,利用簽名來保證證書和資訊沒有被修改。首先是客戶端和伺服器端加密技術的溝通,統一後面通訊適用的加密技術。第二步是伺服器將自己的身份以證書的方式傳送給客戶端。同時非對稱加密的公鑰則是附帶在證書的資訊中。證書...
如何申請ssl證書比較方便,如何申請免費ssl證書比較方便?
安信ssl證書 不建議給 申請免費的ssl證書,畢竟天下沒有免費的午餐。免費的ssl證書和付費的ssl證書還是有很多區別的,如下 1 驗證型別 免費ssl證書只有域名驗證性型 dv ssl證書 而付費ssl證書有域名驗證型 dv ssl證書 企業驗證型 ov ssl證書 組織驗證型 ev ssl證書...