PKI(数字证书系统)

基础
Created At :
Views 👀 :
  1. PKI(数字证书系统)
  2. 散列函数
  3. 密钥算法
    1. 对称密钥算法
    2. 非对称密钥算法
  4. 数字签名
  5. 数字证书
  6. 证书授权颁发机构CA
  7. 证书申请的步骤
    1. 同步时间
    2. 部署证书服务器
    3. 客户端产生密钥
    4. 验证证书服务器
    5. 申请个人证书
    6. 审核并签名证书
    7. 颁发数字证书
    8. 交换公钥
  8. 证书的申请与吊销
    1. 申请
    2. 吊销

PKI(数字证书系统)

bilibili找了个课程,记录一下学习过程

散列函数

image-20231013201415718

散列函数的特点:固定大小,雪崩效应,单向,冲突避免

密钥算法

简单记录一下,

对称密钥算法

使用相同的密钥的算法进行加密和解密,优点:非常快,安全,紧凑。

非对称密钥算法

image-20231015184112596

缺点:加密速度非常慢,密文会非常长。

一般来说,都是对称加密和非对称机密同时使用,

image-20231015190332650

image-20231015190338867

数字签名

image-20231015190853472

证书加密是私钥,解密(校验)是公钥。
因为只有发送方存在私钥,所以证书具有不可否认性。
任何人都有公钥,来校验这个文件是否完整和是否源自发送方。

数字证书

image-20231015191809857

证书系统的目的就是给两端提供一次安全的公钥加密

image-20231015193250043

受信任的介绍,通过中间人b,使a和c建立受信任的联系。

证书授权颁发机构CA

image-20231015193426511

1.PKI  最高级的(类似zf,为了颁布证书所弄出来的所有东西)
2.CA  中间的(类似发证的机构,公安局之类的)
3.证书  (类似身份证)

步骤:

image-20231015193656625

1.首先客户需要得到ca的根证书,然后将客户自己的公钥提供给ca。

image-20231015193747827

2.证书服务器会把客户的个人信息和公钥,哈希加密之后得到的东西就叫签名。随后,将明文的个人信息,明文的公钥,明文的hash(通过CA的私钥做的),这个东西的集合就叫数字证书(下图)

image-20231015194232854

3.客户收到CA发送的消息之后,就可以通过CA的公钥对hash值进行校验,确定是CA发布的。这个时候就可以通过消息中的公钥得到对面客户的公钥。

证书申请的步骤

同步时间

时间是整个PKI系统的重中之重,必须要先确保参加PKI系统的设备和主机的时间同步,才能开始PKI的部署。

部署证书服务器

image-20231016182824907

客户端产生密钥

每一个实体在申请证书之前,需要预先产生RSA密钥对。

验证证书服务器

每一个实体需要获取证书服务器的根证书,里面包含证书服务器的公钥。获取了根证书后,乐意通过fingerprint离线验证证书服务器。

申请个人证书

审核并签名证书

颁发数字证书

交换公钥

证书的申请与吊销

image-20231016183313907

三个经典的申请方式。

申请

image-20231016183335825

吊销

image-20231016184107006

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。后续可能会有评论区,不过也可以在github联系我。

©2016-2020 Yelog

Built with Hexo and 3-hexo theme