SSL安全證書-概念解析

1、關於證書

數字證書是一種認證機制。簡單點說，它表明了一種由權威機構頒發受權的安全標誌。

由來

在之前，傳統網站採用HTTP協議進行數據傳輸，全部的數據幾乎都用的明文，很容易發生隱私泄露。爲了解決安全問題，你們開始考慮採用加解密的方案，因而乎誕生了公鑰加密(非對稱加解密)及簽名算法。瀏覽器從服務端獲得公鑰，通過協商並生成動態密鑰，此後全部的請求響應都基於動態密鑰加解密。然而對於瀏覽器而言，是否是全部聲稱了 HTTPS 的服務器都值得信任呢。答案是否認的，服務器必須提供一個憑證以證實本身值得信任，因而乎這就有了證書，一般的證書裏面則包含了公鑰。瀏覽器與服務器進行加密數據傳輸的前提是服務器證書受到信任，即存在於瀏覽器的受信任證書列表中。

2、PKI - 公鑰基礎設施

Public Key Infrastructure，是基於公開密鑰技術所構建的，用以解決網絡安全問題的通用基礎平臺。其服務範圍包括公鑰管理、提供認證、加密、完整性和可追究性服務。
PKI 幾乎能夠代言整個公鑰技術體系標準。從概念上，PKI 涵蓋了 PMI （權限管理），然而實質上 PKI 不只如此，目前只要是基於公鑰技術實現網絡安全的全部協議、組件、服務等都從屬於 PKI，包括上述的證書。

PKI 的關鍵元素：

1 數字證書 Certificate
2 證書籤署機構 CA 及批准機構 RA
3 存儲目錄
4 證書策略、證書路徑及使用者

3、CA - 證書受權中心

Certificate Authority，CA 是負責發放並管理數字證書的第三方權威機構，它負責管理 PKI 體系中的全部組織、我的、以及他們持有的的數字證書，將用戶的公鑰及用戶的其餘信息捆綁在一塊兒，在網上驗證用戶的身份。CA機構的數字簽名使得攻擊者不能僞造和篡改證書。

CA 的層級結構

CA創建自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發證書並認證
如github的證書層級：

CA 的功能：

證書頒發：接收、驗證及受理用戶(包括下級認證中心和最終用戶)的數字證書的申請。
證書更新：認證中心能夠按期更新全部用戶的證書，或者根據用戶的請求來更新用戶的證書
證書查詢：查詢當前用戶證書申請處理過程；查詢用戶證書的頒發信息，這類查詢由目錄服務器LDAP來完成
證書做廢：因爲用戶私鑰泄密等緣由，須要向認證中心提出證書做廢的請求；證書已通過了有效期，認證中心自動將該證書做廢。認證中心經過維護證書做廢列表 (Certificate Revocation List,CRL) 來完成上述功能。
證書的歸檔：證書具備必定的有效期，證書過了有效期以後就將做廢，可是咱們不能將做廢的證書簡單地丟棄，由於有時咱們可能須要驗證之前的某個交易過程當中產生的數字簽名，這時咱們就須要查詢做廢的證書。
來源：

4、Certificates 數字證書

主要構成

1. 申請者信息；
2. 申請者公鑰；
3. 簽發機構CA及數字簽名
4. 證書有效期

證書標準

1. x.509 是PKI 體系中最基礎的標準，它最早定義了公鑰證書的基本結構：
   SSL公鑰證書
   證書廢除列表CRL(Certificate revocation lists)

2. PKCS#12
   windows 平臺及 mac平臺使用的證書標準，一般使用 pfx/p12 做爲文件擴展名，
   該標準在X509的基礎之上增長了私鑰及存取密碼。

編碼格式

PEM - Privacy Enhanced Mail, BASE64編碼，可讀
Apache和Unix/Linux 服務器採用的編碼格式.
DER - Distinguished Encoding Rules,二進制格式,不可讀.
Windows 服務器採用的編碼格式.

文件擴展名

pem/der 數字證書，編碼格式與其名稱對應；
crt 數字證書，常見於unix/linux系統；
cer 數字證書，常見於windows系統；
key 非證書，通常是公鑰或私鑰文件；
csr certificate signing request，證書籤名請求文件；
pfx/p12 - predecessor of PKCS#12，是PKCS#12 標準的證書文件，
同時包含了公鑰和私鑰，存取時需提供密碼，採用DER 編碼

5、樣例

獲取github 證書

使用chrome 打開 https://github.com/ ,點擊連接左邊的 區域可看到信息面板：

找到證書信息，導出詳細信息

證書內容