正文

數(shù)字證書詳解（數(shù)字證書的使用流程）

發(fā)布時間：2023-04-04 23:34:57 稿源：創(chuàng)意嶺閱讀： 100

大家好！今天讓小編來大家介紹下關于數(shù)字證書詳解的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務客戶遍布全球各地，相關業(yè)務請撥打電話：175-8598-2043，或添加微信：1454722008

文章目錄列表:

1、https證書可靠嗎，可信嗎
2、https認證要這么弄，要申請https證書嗎？
3、勾選認證詳解及常見問題分析
4、SSL+socket 詳解-概念

數(shù)字證書詳解（數(shù)字證書的使用流程）

一、https證書可靠嗎，可信嗎

不可信，Firefox、IE等瀏覽器對不受信的安全證書會出現(xiàn)提醒，如果確認是證書的問題，用的或者是自簽名ssl證書?；蛘呤窍到y(tǒng)代理問題，如果選的使用系統(tǒng)代理，改成自動就可以了。

自簽名ssl證書不安全，瀏覽器不認可。如果是一般的ssl證書，那確認下頒發(fā)證書的機構(gòu)是否受信任，也就是其根證書有沒有入根到瀏覽器中。受信任的機構(gòu)國外有GlobalSign、Comodo、Go Daddy、 Digicert ，國內(nèi)的GDCA。

數(shù)字證書詳解（數(shù)字證書的使用流程）

https原理：證書傳遞、驗證和數(shù)據(jù)加密、解密過程解析：

1、客戶端發(fā)起HTTPS請求

用戶在瀏覽器里輸入一個https網(wǎng)址，然后連接到server的443端口。

2、服務端的配置

采用HTTPS協(xié)議的服務器必須要有一套數(shù)字證書，可以自己制作，也可以向組織申請。區(qū)別就是自己頒發(fā)的證書需要客戶端驗證通過，才可以繼續(xù)訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。這套證書其實就是一對公鑰和私鑰。

3、送證書

這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發(fā)機構(gòu)，過期時間等等。

4、客戶端解析證書

這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發(fā)機構(gòu)，過期時間等等，如果發(fā)現(xiàn)異常，則會彈出一個警告框，提示證書存在問題。

如果證書沒有問題，那么就生成一個隨機值。然后用證書對該隨機值進行加密。就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內(nèi)容。

5、傳送加密信息

這部分傳送的是用證書加密后的隨機值，目的就是讓服務端得到這個隨機值，以后客戶端和服務端的通信就可以通過這個隨機值來進行加密解密了。

6、服務端解密信息

服務端用私鑰解密后，得到了客戶端傳過來的隨機值(私鑰)，然后把內(nèi)容通過該值進行對稱加密。所謂對稱加密就是，將信息和私鑰通過某種算法混合在一起，這樣除非知道私鑰。

不然無法獲取內(nèi)容，而正好客戶端和服務端都知道這個私鑰，所以只要加密算法夠彪悍，私鑰夠復雜，數(shù)據(jù)就夠安全。

7、傳輸加密后的信息

這部分信息是服務端用私鑰加密后的信息，可以在客戶端被還原

8、客戶端解密信息

客戶端用之前生成的私鑰解密服務端傳過來的信息，于是獲取了解密后的內(nèi)容。整個過程第三方即使監(jiān)聽到了數(shù)據(jù)，也束手無策。

二、https認證要這么弄，要申請https證書嗎？

https是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內(nèi)容就需要SSL。https認證即申請https證書，以下詳解一下https證書申請的步驟：

第一步、提交CSR文件

首先需要生成SSL證書申請文件CSR(Certificate Signing Request)。選擇要申請的SSL證書，提交訂單，并將制生成的CSR文件提一起交到所在的SSL CA頒發(fā)機構(gòu)。

第二步、提交訂單到證書服務機構(gòu)CA

在收到SSL證書訂單和證書請求CSR文件后，系統(tǒng)初步驗證無誤自動提交訂單到證書服務機構(gòu)CA。

第三步、發(fā)送驗證郵件到管理員郵箱

證書服務機構(gòu)（主要包括Comodo / RapidSSL / GeoTrust / Symantec / Thawte / VeriSign）在收到證書申請文件CSR 文件系統(tǒng)自動發(fā)送驗證郵件到域名管理員郵箱。

第四步、用戶確認驗證郵件

進入郵箱后，點擊郵件中的鏈接訪問證書服務機構(gòu)驗證網(wǎng)站，查看訂單信息，確認無誤后點擊確認完成郵件驗證。

第五步、證書機構(gòu)簽發(fā)證書

域名型證書DV SSL一般在用戶完成確認驗證郵件后1－24小時簽發(fā)證書；企業(yè)型證書OV SSL 與增強型證書EV SSL需要證書服務機構(gòu)人工驗證，驗證時間比較長，需要7-15個工作日驗證通過后簽發(fā)證書；成功簽發(fā)的證書通過郵件發(fā)送到用戶訂購郵箱，也可登錄用戶中心查詢證書，這樣網(wǎng)站就能夠成功使用SSL證書了。

三、勾選認證詳解及常見問題分析

一、勾選認證與掃描認證異同

與傳統(tǒng)掃描認證相比，勾選認證有了很大的不同，具體如下圖:

二、勾選認證操作

第一步，插上金稅盤或者稅控盤，打開etax.hntax. gov.cn，點擊“增值稅專票勾選認證”（可無需登錄電子稅務局）。

第二步:登錄勾選認證平臺，密碼為數(shù)字證書密碼。

第三步:點擊“發(fā)票勾選”，進入勾選認證界面，按圖中紅色標記所示選擇相對應的查詢條件，點擊“查詢”。

第四步:選擇需要勾選認證的發(fā)票，點擊“保存”，提示保存成功。

第五步:點擊“勾選確認”進入確認界面，按圖中紅色標記所示選擇條件，點擊“查詢”。

第六步:選擇已經(jīng)勾選但未確認的發(fā)票，點擊“確認”，然后按照提示如圖所示進行操作，至此發(fā)票勾選認證操作已經(jīng)完成。

點擊“抵扣統(tǒng)計”可以查詢抵扣的所有情況。

三、注意事項

1、勾選認證不代表已經(jīng)確認，必須進行“確認勾選”之后才能進入當期抵扣。

2、申報期內(nèi)可以多次勾選認證。

3、如果在勾選認證平臺沒有查詢到發(fā)票信息但又確實已經(jīng)開具，可晚些時候再進行操作，有可能對方的開具信息沒有上傳至系統(tǒng)。

4、勾選認證期限跟掃描認證期限一致，2017年6月30日前開具的為180天，2017年7月1日后開具的為360天。

5、使用該平臺需要使用數(shù)字證書，如果出現(xiàn)數(shù)字證書相關的安全提醒，請參照下文進行操作后再認證。設置信任證書

6、只能選擇所屬期以前日期開具的且未過期的發(fā)票，例如5月份進行稅款所屬期4月份的勾選認證，那么只能勾選認證4月30日前開具的發(fā)票，以開具日期為準。

四、SSL+socket 詳解-概念

SSL協(xié)議采用數(shù)字證書及數(shù)字簽名進行雙端實體認證，用非對稱加密算法進行密鑰協(xié)商，用對稱加密算法將數(shù)據(jù)加密后進行傳輸以保證數(shù)據(jù)的保密性，并且通過計算數(shù)字摘要來驗證數(shù)據(jù)在傳輸過程中是否被篡改和偽造，從而為敏感數(shù)據(jù)的傳輸提供了一種安全保障手段。

SSL協(xié)議提供的服務主要有：

1）認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器

認證用戶和服務器的合法性，使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上?？蛻魴C和服務器都有各自的識別號，這些識別號由公開密鑰進行編號，為驗證用戶是否合法，SSL協(xié)議要求在握手交換數(shù)據(jù)時進行數(shù)字認證，以此確保用戶的合法性。

2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取

SSL協(xié)議所采用的加密技術(shù)既有對稱密鑰技術(shù)，也有公開密鑰技術(shù)。在客戶機和服務器進行數(shù)據(jù)交換前，交換SSL初始握手信息，在SSL握手信息中采用了各種加密技術(shù)對其進行加密，以保證其機密性和數(shù)據(jù)的完整性，并且用數(shù)字證書進行鑒別，這樣就可以防止非法用戶進行破譯。

3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變

SSL協(xié)議采用Hash函數(shù)和機密共享的方法提供信息的完整性服務，建立客戶機和服務器之間的安全通道，使所有經(jīng)過SSL協(xié)議處理的業(yè)務在傳輸過程中能全部完整準確無誤的到達目的地。

SSL體系結(jié)構(gòu)：

SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡層和應用層之間,使用TCP來提供一種可靠的端到端的安全服務,它是客戶/服務器應用之間的通信不被攻擊抓取,并且始終對服務器進行認證,還可以選擇對客戶進行認證。SSL體系結(jié)構(gòu)如圖1所示。

SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡層和應用層之間,使用TCP來提供一種可靠的端到端的安全服務,它是客戶/服務器應用之間的通信不被攻擊抓取,并且始終對服務器進行認證,還可以選擇對客戶進行認證。

在SSL通訊中，首先采用非對稱加密交換信息，使得服務器獲得瀏覽器端提供的對稱加密的密鑰，然后利用該密鑰進行通訊過程中信息的加密和解密。為了保證消息在傳遞過程中沒有被篡改，可以加密HASH編碼來確保信息的完整性。SSL通訊過程，如圖2所示。

一般情況下，當客戶端是保密信息的傳遞者時，客戶端不需要數(shù)字證書驗證自己身份的真實性，如電子銀行的應用，客戶需要將自己的賬號和密碼發(fā)送給銀行，因此銀行的服務器需要安裝數(shù)字證書來表明自己身份的有效性。在某些應用中，服務器端也需要對客戶端的身份進行驗證，這時客戶端也需要安裝數(shù)字證書以保證通訊時服務器可以辨別出客戶端的身份，驗證過程類似于服務器身份的驗證過程。

SSL Socket通信是對Socket通信的拓展。在Socket通信的基礎上添加了一層安全性保護，提供了更高的安全性，包括身份驗證、數(shù)據(jù)加密以及完整性驗證。

SSL Socket雙向認證實現(xiàn)技術(shù)： JSSE（Java Security Socket Extension ），它實現(xiàn)了SSL和TSL（傳輸層安全）協(xié)議。在JSSE中包含了數(shù)據(jù)加密，服務器驗證，消息完整性和客戶端驗證等技術(shù)。通過使用JSSE，可以在客戶機和服務器之間通過TCP/IP協(xié)議安全地傳輸數(shù)據(jù)。為了實現(xiàn)消息認證：

密鑰和授權(quán)證書的生成方法：

使用Java自帶的keytool命令，在命令行生成。

1、生成服務器端私鑰kserver.keystore文件

keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore

2、根據(jù)私鑰，導出服務器端安全證書

keytool -export -alias serverkey -keystore kserver.keystore -file server.crt

3、將服務器端證書，導入到客戶端的Trust KeyStore中

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

4、生成客戶端私鑰kclient.keystore文件

keytool -genkey -alias clientkey -validity 1 -keystore kclient.keystore

5、根據(jù)私鑰，導出客戶端安全證書

keytool -export -alias clientkey -keystore kclient.keystore -file client.crt

6、將客戶端證書，導入到服務器端的Trust KeyStore中

keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

生成的文件分成兩組，服務器端保存：kserver.keystore tserver.keystore 客戶端保存：kclient.keystore tclient.kyestore。

客戶端采用kclient.keystore中的私鑰進行數(shù)據(jù)加密，發(fā)送給服務端，服務器端采用tserver.keystore中的client.crt證書對數(shù)據(jù)解密，如果解密成功，證明消息來自可信的客戶端，進行邏輯處理；服務器端采用kserver.keystore中的私鑰進行數(shù)據(jù)加密，發(fā)送給客戶端，客戶端采用tclient.keystore中的server.crt證書對數(shù)據(jù)解密，如果解密成功，證明消息來自可信的服務器端，進行邏輯處理。如果解密失敗，那么證明消息來源錯誤。不進行邏輯處理。

SSL Socket雙向認證的安全性：

（1）可以確保數(shù)據(jù)傳送到正確的服務器端和客戶端。

（2）可以防止消息傳遞過程中被竊取。

（3）防止消息在傳遞過程中被修改.。

在系統(tǒng)運行中可能出現(xiàn)以下情況：

（1）服務器端、客戶端都持有正確的密鑰和安全證書，此時服務器端和客戶端可以進行正常通信。

（2）客戶端的密鑰和安全證書不正確，此時服務器端和客戶端不可以進行正常通信。

（3）客戶端未持有密鑰和安全證書，此時服務器端和客戶端也不可以進行正常通信。

以上就是小編對于數(shù)字證書詳解問題和相關問題的解答了，如有疑問，可撥打網(wǎng)站上的電話，或添加微信。