HOME 首頁(yè)
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運(yùn)營(yíng)
CASE 服務(wù)案例
NEWS 熱點(diǎn)資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    數(shù)字證書(shū)詳解(數(shù)字證書(shū)的使用流程)

    發(fā)布時(shí)間:2023-04-04 23:34:57     稿源: 創(chuàng)意嶺    閱讀: 100        

    大家好!今天讓小編來(lái)大家介紹下關(guān)于數(shù)字證書(shū)詳解的問(wèn)題,以下是小編對(duì)此問(wèn)題的歸納整理,讓我們一起來(lái)看看吧。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,相關(guān)業(yè)務(wù)請(qǐng)撥打電話:175-8598-2043,或添加微信:1454722008

    文章目錄列表:

    數(shù)字證書(shū)詳解(數(shù)字證書(shū)的使用流程)

    一、https證書(shū)可靠嗎,可信嗎

    不可信,Firefox、IE等瀏覽器對(duì)不受信的安全證書(shū)會(huì)出現(xiàn)提醒,如果確認(rèn)是證書(shū)的問(wèn)題,用的或者是自簽名ssl證書(shū)。或者是系統(tǒng)代理問(wèn)題,如果選的使用系統(tǒng)代理,改成自動(dòng)就可以了。

    自簽名ssl證書(shū)不安全,瀏覽器不認(rèn)可。如果是一般的ssl證書(shū),那確認(rèn)下頒發(fā)證書(shū)的機(jī)構(gòu)是否受信任,也就是其根證書(shū)有沒(méi)有入根到瀏覽器中。受信任的機(jī)構(gòu)國(guó)外有GlobalSign、Comodo、Go Daddy、 Digicert ,國(guó)內(nèi)的GDCA。

    數(shù)字證書(shū)詳解(數(shù)字證書(shū)的使用流程)

    https原理:證書(shū)傳遞、驗(yàn)證和數(shù)據(jù)加密、解密過(guò)程解析:

    1、客戶端發(fā)起HTTPS請(qǐng)求

    用戶在瀏覽器里輸入一個(gè)https網(wǎng)址,然后連接到server的443端口。

    2、服務(wù)端的配置

    采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書(shū),可以自己制作,也可以向組織申請(qǐng)。區(qū)別就是自己頒發(fā)的證書(shū)需要客戶端驗(yàn)證通過(guò),才可以繼續(xù)訪問(wèn),而使用受信任的公司申請(qǐng)的證書(shū)則不會(huì)彈出提示頁(yè)面(startssl就是個(gè)不錯(cuò)的選擇,有1年的免費(fèi)服務(wù))。這套證書(shū)其實(shí)就是一對(duì)公鑰和私鑰。

    3、送證書(shū)

    這個(gè)證書(shū)其實(shí)就是公鑰,只是包含了很多信息,如證書(shū)的頒發(fā)機(jī)構(gòu),過(guò)期時(shí)間等等。

    4、客戶端解析證書(shū)

    這部分工作是有客戶端的TLS來(lái)完成的,首先會(huì)驗(yàn)證公鑰是否有效,比如頒發(fā)機(jī)構(gòu),過(guò)期時(shí)間等等,如果發(fā)現(xiàn)異常,則會(huì)彈出一個(gè)警告框,提示證書(shū)存在問(wèn)題。

    如果證書(shū)沒(méi)有問(wèn)題,那么就生成一個(gè)隨機(jī)值。然后用證書(shū)對(duì)該隨機(jī)值進(jìn)行加密。就好像上面說(shuō)的,把隨機(jī)值用鎖頭鎖起來(lái),這樣除非有鑰匙,不然看不到被鎖住的內(nèi)容。

    5、傳送加密信息

    這部分傳送的是用證書(shū)加密后的隨機(jī)值,目的就是讓服務(wù)端得到這個(gè)隨機(jī)值,以后客戶端和服務(wù)端的通信就可以通過(guò)這個(gè)隨機(jī)值來(lái)進(jìn)行加密解密了。

    6、服務(wù)端解密信息

    服務(wù)端用私鑰解密后,得到了客戶端傳過(guò)來(lái)的隨機(jī)值(私鑰),然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱加密。所謂對(duì)稱加密就是,將信息和私鑰通過(guò)某種算法混合在一起,這樣除非知道私鑰。

    不然無(wú)法獲取內(nèi)容,而正好客戶端和服務(wù)端都知道這個(gè)私鑰,所以只要加密算法夠彪悍,私鑰夠復(fù)雜,數(shù)據(jù)就夠安全。

    7、傳輸加密后的信息

    這部分信息是服務(wù)端用私鑰加密后的信息,可以在客戶端被還原

    8、客戶端解密信息

    客戶端用之前生成的私鑰解密服務(wù)端傳過(guò)來(lái)的信息,于是獲取了解密后的內(nèi)容。整個(gè)過(guò)程第三方即使監(jiān)聽(tīng)到了數(shù)據(jù),也束手無(wú)策。

    二、https認(rèn)證要這么弄,要申請(qǐng)https證書(shū)嗎?

    https是以安全為目標(biāo)的HTTP通道,簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。https認(rèn)證即申請(qǐng)https證書(shū),以下詳解一下https證書(shū)申請(qǐng)的步驟:

    第一步、提交CSR文件

    首先需要生成SSL證書(shū)申請(qǐng)文件CSR(Certificate Signing Request)。選擇要申請(qǐng)的SSL證書(shū),提交訂單,并將制生成的CSR文件提一起交到所在的SSL CA頒發(fā)機(jī)構(gòu)。

    第二步、提交訂單到證書(shū)服務(wù)機(jī)構(gòu)CA

    在收到SSL證書(shū)訂單和證書(shū)請(qǐng)求CSR文件后,系統(tǒng)初步驗(yàn)證無(wú)誤自動(dòng)提交訂單到證書(shū)服務(wù)機(jī)構(gòu)CA。

    第三步、發(fā)送驗(yàn)證郵件到管理員郵箱

    證書(shū)服務(wù)機(jī)構(gòu)(主要包括Comodo / RapidSSL / GeoTrust / Symantec / Thawte / VeriSign)在收到證書(shū)申請(qǐng)文件CSR 文件系統(tǒng)自動(dòng)發(fā)送驗(yàn)證郵件到域名管理員郵箱。

    第四步、用戶確認(rèn)驗(yàn)證郵件

    進(jìn)入郵箱后,點(diǎn)擊郵件中的鏈接訪問(wèn)證書(shū)服務(wù)機(jī)構(gòu)驗(yàn)證網(wǎng)站,查看訂單信息,確認(rèn)無(wú)誤后點(diǎn)擊確認(rèn)完成郵件驗(yàn)證。

    第五步、證書(shū)機(jī)構(gòu)簽發(fā)證書(shū)

    域名型證書(shū)DV SSL一般在用戶完成確認(rèn)驗(yàn)證郵件后1-24小時(shí)簽發(fā)證書(shū);企業(yè)型證書(shū)OV SSL 與 增強(qiáng)型證書(shū)EV SSL需要證書(shū)服務(wù)機(jī)構(gòu)人工驗(yàn)證,驗(yàn)證時(shí)間比較長(zhǎng),需要7-15個(gè)工作日驗(yàn)證通過(guò)后簽發(fā)證書(shū);成功簽發(fā)的證書(shū)通過(guò)郵件發(fā)送到用戶訂購(gòu)郵箱,也可登錄用戶中心查詢證書(shū),這樣網(wǎng)站就能夠成功使用SSL證書(shū)了。

    三、勾選認(rèn)證詳解及常見(jiàn)問(wèn)題分析

    一、勾選認(rèn)證與掃描認(rèn)證異同

           與傳統(tǒng)掃描認(rèn)證相比,勾選認(rèn)證有了很大的不同,具體如下圖:

    二、勾選認(rèn)證操作

           第一步,插上金稅盤(pán)或者稅控盤(pán),打開(kāi)etax.hntax. gov.cn,點(diǎn)擊“增值稅專票勾選認(rèn)證”(可無(wú)需登錄電子稅務(wù)局)。

           第二步:登錄勾選認(rèn)證平臺(tái),密碼為數(shù)字證書(shū)密碼。

           第三步:點(diǎn)擊“發(fā)票勾選”,進(jìn)入勾選認(rèn)證界面,按圖中紅色標(biāo)記所示選擇相對(duì)應(yīng)的查詢條件,點(diǎn)擊“查詢”。

           第四步:選擇需要勾選認(rèn)證的發(fā)票,點(diǎn)擊“保存”,提示保存成功。

           第五步:點(diǎn)擊“勾選確認(rèn)”進(jìn)入確認(rèn)界面,按圖中紅色標(biāo)記所示選擇條件,點(diǎn)擊“查詢”。

           第六步:選擇已經(jīng)勾選但未確認(rèn)的發(fā)票,點(diǎn)擊“確認(rèn)”,然后按照提示如圖所示進(jìn)行操作,至此發(fā)票勾選認(rèn)證操作已經(jīng)完成。

           點(diǎn)擊“抵扣統(tǒng)計(jì)”可以查詢抵扣的所有情況。

    三、注意事項(xiàng)

           1、勾選認(rèn)證不代表已經(jīng)確認(rèn),必須進(jìn)行“確認(rèn)勾選”之后才能進(jìn)入當(dāng)期抵扣。

            2、申報(bào)期內(nèi)可以多次勾選認(rèn)證。

           3、如果在勾選認(rèn)證平臺(tái)沒(méi)有查詢到發(fā)票信息但又確實(shí)已經(jīng)開(kāi)具,可晚些時(shí)候再進(jìn)行操作,有可能對(duì)方的開(kāi)具信息沒(méi)有上傳至系統(tǒng)。

           4、勾選認(rèn)證期限跟掃描認(rèn)證期限一致,2017年6月30日前開(kāi)具的為180天,2017年7月1日后開(kāi)具的為360天。

            5、使用該平臺(tái)需要使用數(shù)字證書(shū),如果出現(xiàn)數(shù)字證書(shū)相關(guān)的安全提醒,請(qǐng)參照下文進(jìn)行操作后再認(rèn)證。 設(shè)置信任證書(shū)

           6、只能選擇所屬期以前日期開(kāi)具的且未過(guò)期的發(fā)票,例如5月份進(jìn)行稅款所屬期4月份的勾選認(rèn)證,那么只能勾選認(rèn)證4月30日前開(kāi)具的發(fā)票,以開(kāi)具日期為準(zhǔn)。

    四、SSL+socket 詳解-概念

    SSL協(xié)議采用數(shù)字證書(shū)及數(shù)字簽名進(jìn)行雙端實(shí)體認(rèn)證,用非對(duì)稱加密算法進(jìn)行密鑰協(xié)商,用對(duì)稱加密算法將數(shù)據(jù)加密后進(jìn)行傳輸以保證數(shù)據(jù)的保密性,并且通過(guò)計(jì)算數(shù)字摘要來(lái)驗(yàn)證數(shù)據(jù)在傳輸過(guò)程中是否被篡改和偽造,從而為敏感數(shù)據(jù)的傳輸提供了一種安全保障手段。

    SSL協(xié)議提供的服務(wù)主要有:

    1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器

    認(rèn)證用戶和服務(wù)器的合法性,使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上??蛻魴C(jī)和服務(wù)器都有各自的識(shí)別號(hào),這些識(shí)別號(hào)由公開(kāi)密鑰進(jìn)行編號(hào),為驗(yàn)證用戶是否合法,SSL協(xié)議要求在握手交換數(shù)據(jù)時(shí)進(jìn)行數(shù)字認(rèn)證,以此確保用戶的合法性。

    2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取

    SSL協(xié)議所采用的加密技術(shù)既有對(duì)稱密鑰技術(shù),也有公開(kāi)密鑰技術(shù)。在客戶機(jī)和服務(wù)器進(jìn)行數(shù)據(jù)交換前,交換SSL初始握手信息,在SSL握手信息中采用了各種加密技術(shù)對(duì)其進(jìn)行加密,以保證其機(jī)密性和數(shù)據(jù)的完整性,并且用數(shù)字證書(shū)進(jìn)行鑒別,這樣就可以防止非法用戶進(jìn)行破譯。

    3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變

    SSL協(xié)議采用Hash函數(shù)和機(jī)密共享的方法提供信息的完整性服務(wù),建立客戶機(jī)和服務(wù)器之間的安全通道,使所有經(jīng)過(guò)SSL協(xié)議處理的業(yè)務(wù)在傳輸過(guò)程中能全部完整準(zhǔn)確無(wú)誤的到達(dá)目的地。

    SSL體系結(jié)構(gòu):

    SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間,使用TCP來(lái)提供一種可靠的端到端的安全服務(wù),它是客戶/服務(wù)器應(yīng)用之間的通信不被攻擊抓取,并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證,還可以選擇對(duì)客戶進(jìn)行認(rèn)證。SSL體系結(jié)構(gòu)如圖1所示。

    SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間,使用TCP來(lái)提供一種可靠的端到端的安全服務(wù),它是客戶/服務(wù)器應(yīng)用之間的通信不被攻擊抓取,并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證,還可以選擇對(duì)客戶進(jìn)行認(rèn)證。

    在SSL通訊中,首先采用非對(duì)稱加密交換信息,使得服務(wù)器獲得瀏覽器端提供的對(duì)稱加密的密鑰,然后利用該密鑰進(jìn)行通訊過(guò)程中信息的加密和解密。為了保證消息在傳遞過(guò)程中沒(méi)有被篡改,可以加密HASH編碼來(lái)確保信息的完整性。SSL通訊過(guò)程,如圖2所示。

    一般情況下,當(dāng)客戶端是保密信息的傳遞者時(shí),客戶端不需要數(shù)字證書(shū)驗(yàn)證自己身份的真實(shí)性,如電子銀行的應(yīng)用,客戶需要將自己的賬號(hào)和密碼發(fā)送給銀行,因此銀行的服務(wù)器需要安裝數(shù)字證書(shū)來(lái)表明自己身份的有效性。在某些應(yīng)用中,服務(wù)器端也需要對(duì)客戶端的身份進(jìn)行驗(yàn)證,這時(shí)客戶端也需要安裝數(shù)字證書(shū)以保證通訊時(shí)服務(wù)器可以辨別出客戶端的身份,驗(yàn)證過(guò)程類似于服務(wù)器身份的驗(yàn)證過(guò)程。

    SSL Socket通信是對(duì)Socket通信的拓展。在Socket通信的基礎(chǔ)上添加了一層安全性保護(hù),提供了更高的安全性,包括身份驗(yàn)證、數(shù)據(jù)加密以及完整性驗(yàn)證。

    SSL Socket雙向認(rèn)證實(shí)現(xiàn)技術(shù): JSSE(Java Security Socket Extension ),它實(shí)現(xiàn)了SSL和TSL(傳輸層安全)協(xié)議。在JSSE中包含了數(shù)據(jù)加密,服務(wù)器驗(yàn)證,消息完整性和客戶端驗(yàn)證等技術(shù)。通過(guò)使用JSSE,可以在客戶機(jī)和服務(wù)器之間通過(guò)TCP/IP協(xié)議安全地傳輸數(shù)據(jù)。為了實(shí)現(xiàn)消息認(rèn)證:

    密鑰和授權(quán)證書(shū)的生成方法:

    使用Java自帶的keytool命令,在命令行生成。

    1、生成服務(wù)器端私鑰kserver.keystore文件

    keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore

    2、根據(jù)私鑰,導(dǎo)出服務(wù)器端安全證書(shū)

    keytool -export -alias serverkey -keystore kserver.keystore -file server.crt

    3、將服務(wù)器端證書(shū),導(dǎo)入到客戶端的Trust KeyStore中

    keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

    4、生成客戶端私鑰kclient.keystore文件

    keytool -genkey -alias clientkey -validity 1 -keystore kclient.keystore

    5、根據(jù)私鑰,導(dǎo)出客戶端安全證書(shū)

    keytool -export -alias clientkey -keystore kclient.keystore -file client.crt

    6、將客戶端證書(shū),導(dǎo)入到服務(wù)器端的Trust KeyStore中

    keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

    生成的文件分成兩組,服務(wù)器端保存:kserver.keystore tserver.keystore 客戶端保存:kclient.keystore tclient.kyestore。

    客戶端采用kclient.keystore中的私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給服務(wù)端,服務(wù)器端采用tserver.keystore中的client.crt證書(shū)對(duì)數(shù)據(jù)解密,如果解密成功,證明消息來(lái)自可信的客戶端,進(jìn)行邏輯處理; 服務(wù)器端采用kserver.keystore中的私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給客戶端,客戶端采用tclient.keystore中的server.crt證書(shū)對(duì)數(shù)據(jù)解密,如果解密成功,證明消息來(lái)自可信的服務(wù)器端,進(jìn)行邏輯處理。如果解密失敗,那么證明消息來(lái)源錯(cuò)誤。不進(jìn)行邏輯處理。

    SSL Socket雙向認(rèn)證的安全性:

    (1)可以確保數(shù)據(jù)傳送到正確的服務(wù)器端和客戶端。

    (2)可以防止消息傳遞過(guò)程中被竊取。

    (3)防止消息在傳遞過(guò)程中被修改.。

    在系統(tǒng)運(yùn)行中可能出現(xiàn)以下情況:

    (1) 服務(wù)器端、客戶端都持有正確的密鑰和安全證書(shū),此時(shí)服務(wù)器端和客戶端可以進(jìn)行正常通信。

    (2) 客戶端的密鑰和安全證書(shū)不正確,此時(shí)服務(wù)器端和客戶端不可以進(jìn)行正常通信。

    (3) 客戶端未持有密鑰和安全證書(shū),此時(shí)服務(wù)器端和客戶端也不可以進(jìn)行正常通信。

    以上就是小編對(duì)于數(shù)字證書(shū)詳解問(wèn)題和相關(guān)問(wèn)題的解答了,如有疑問(wèn),可撥打網(wǎng)站上的電話,或添加微信。


    推薦閱讀:

    智慧數(shù)字經(jīng)營(yíng)3.0加盟費(fèi)用(柚見(jiàn)鮮茶加盟費(fèi)需要多少錢)

    數(shù)字化營(yíng)銷發(fā)展趨勢(shì)(數(shù)字化營(yíng)銷發(fā)展趨勢(shì)對(duì)從業(yè)人員提出的要求)

    為什么excel功能欄點(diǎn)不了(為什么excel功能欄點(diǎn)不了數(shù)字)

    現(xiàn)在開(kāi)網(wǎng)店賣什么最掙錢(現(xiàn)在開(kāi)網(wǎng)店賣什么最賺錢)

    小賣部網(wǎng)上進(jìn)貨渠道