关于CA、签名、证书、非对称加密、摘要、公私钥匙和keystore概念和区别
这几个概念才接触密码学时候理解不是很到位,现在将其理清楚,写下自己的理解。公私秘钥对可以通过一种算法得到。
公钥:公开的,都可以拿到的秘钥。用来加密也用来解密,公钥加密的信息只能用对应私钥来解。
私钥:只有一个持有者,其他人都拿不到。用来加密也用来解密,私钥加密的信息只有对应的公钥能解。因为私钥具有唯一性,可以用来鉴别身份。需要注意的是私钥的唯一性是针对自己的公钥来说的。
非对称加密:过程使用两把不同的钥匙加解密,私钥加密只能用公钥解,公钥加密用私钥解,一般流程为:A生成公私密钥对,把公钥给B,B用公钥加密信息发送给A,A用私钥解密。
摘要:对任意一组输入数据通过算法进行计算,得到一个固定长度的输出摘要,常见RSA公司的MD5算法和SHA-1算法。
签名:包含两部分:对所签信息做摘要运算得到一个结果值,在运用非对称加密中的私钥对这个值进行加密(比如app签名就是对app自身文件做多次摘要,然后私钥加密,https流程签名就是对一些企业证书信息做摘要然后私钥加密)。
证书:公钥相关信息,其他信息如证书有效期,名称,最后贴附私钥签名的信息,格式普遍采用的是X.509V3国际标准(app中证书指纹,他是签名工具相关信息的hash值不包括贴附私钥签名只会随签名keystore变化而变化,app变化时候不会改变,用来配合包名做身份鉴别,常用于app升级和安装场景)。
keystore:证书库文件,保存证书信息和公钥及私钥(用设置密码保护私钥),访问私钥要密码。
CA:第三方可信机构。为什么https过程中非对称加密传输过程中需要用到第三方可信机构(CA),大家得客户端都以保存在本地的CA发出来的公钥解密,就可以确定CA的身份因为CA是唯一的私钥拥有者,CA做的事就是给合法的服务端证书签名,所以客户端鉴定CA的身份后,自然也认为解得CA签名的服务器证书是合法的。
注意https中涉及两对公私密钥,CA的私钥用来签名,其签名信息用来防篡改,CA公私钥配合确定CA的是身份。服务器的公私密钥用来加解密信息,也用来确定的服务器身份,其交互的信息用来协商对称密钥。
绛旓細CA锛氱涓夋柟鍙俊鏈烘瀯銆備负浠涔坔ttps杩囩▼涓闈炲绉鍔犲瘑浼犺緭杩囩▼涓渶瑕佺敤鍒扮涓夋柟鍙俊鏈烘瀯锛圕A锛夛紝澶у寰楀鎴风閮戒互淇濆瓨鍦ㄦ湰鍦扮殑CA鍙戝嚭鏉ョ殑鍏挜瑙e瘑锛屽氨鍙互纭畾CA鐨勮韩浠藉洜涓篊A鏄敮涓鐨勭閽ユ嫢鏈夎锛孋A鍋氱殑浜嬪氨鏄粰鍚堟硶鐨勬湇鍔$璇佷功绛惧悕锛鎵浠ュ鎴风閴村畾CA鐨勮韩浠藉悗锛岃嚜鐒朵篃璁や负瑙e緱CA绛惧悕鐨勬湇鍔″櫒璇佷功鏄悎娉曠殑銆
绛旓細浼间箮鍙堝洖鍒颁簡鍘熺偣锛氬浣曞畨鍏ㄤ紶閫掑叕閽ョ殑闂銆 鍏跺疄锛屼俊浠绘槸鏈夎捣鐐圭殑銆 CA 涓嶄粎涓轰粬浜虹敓鎴愯瘉涔︼紝涔熺敓鎴愯嚜宸辩殑璇佷功锛孋A 涓鸿嚜宸辩敓鎴愮殑璇佷功閲屽寘鍚簡CA鐨勫叕閽ャ CA 鐨勮瘉涔﹀湪鐢佃剳銆佹墜鏈虹瓑璁惧鍑哄満鐨勬椂鍊欏氨浼氶缃湪绯荤粺閲屻佹祻瑙堝櫒閲屻傚洜姝わ紝褰撳皬鏄庨獙璇佸皬绾㈢殑璇佷功鏃讹紝浼氬湪绯荤粺閲屽鎵捐兘澶熻В寮灏忕孩璇佷功鐨凜...
绛旓細鏁板瓧璇佷功鏄竴涓粡璇佷功鎺堟潈涓績鐢熸垚鐨勬枃浠,鏁板瓧璇佷功閲屼竴鑸細鍖呭惈鍏挜銆佸叕閽ユ嫢鏈夎呭悕绉般CA鐨勬暟瀛绛惧悕銆佹湁鏁堟湡銆佹巿鏉冧腑蹇冨悕绉般佽瘉涔﹀簭鍒楀彿绛変俊鎭傚叾涓瑿A鐨勬暟瀛楃鍚嶆槸楠岃瘉璇佷功鏄惁琚鏀圭殑鍏抽敭,瀹冨叾瀹炲氨鏄璇佷功閲岄潰闄や簡CA鐨勬暟瀛楃鍚嶄互澶栫殑鍐呭杩涜鎽樿绠楁硶寰楀埌涓涓憳瑕,鐒跺悗CA鏈烘瀯鐢ㄤ粬鑷繁鐨勭閽ュ杩欎釜鎽樿杩涜鍔犲瘑灏辩敓鎴愪簡...
绛旓細ca鏈烘瀯: 鏉冨▉璇佷功棰佸彂鏈烘瀯,娴忚鍣ㄥ瓨鏈塩a鐨勫叕閽,娴忚鍣ㄤ互姝ゅ叕閽ユ潵楠岃瘉鏈嶅姟绔瘉涔︾殑鍚堟硶鎬с 璇佷功鐨勮幏鍙: 鐢熸垚璇佷功鐢宠鏂囦欢.csr(娑夊強鍒癙KCS#10瀹氫箟鐨勮鑼)鍚庡悜ca鏈烘瀯鐢宠銆 鎴栬呰嚜宸辩洿鎺ラ氳繃鐢熸垚绉侀挜灏卞彲浠ヤ竴姝ュ埌浣嶇敓鎴愯嚜绛惧悕璇佷功銆 鑷鍚嶈瘉涔﹀氨鏄敤鑷繁鐨勭閽ユ潵绛惧悕璇佷功銆 閭d箞涓轰簡浣撶幇鍒 璇佷功韬唤璁よ瘉銆佹暟鎹畬鏁淬...
绛旓細鍚庢潵锛岃嫃鐝婃劅瑙変笉瀵瑰姴锛屽彂鐜拌嚜宸辨棤娉曠‘瀹氬叕閽ユ槸鍚︾湡鐨勫睘浜庨矋鍕冦傚ス鎯冲埌浜嗕竴涓姙娉曪紝瑕佹眰椴嶅媰鍘绘壘"璇佷功涓績"锛坈ertificate authority锛岀畝绉CA锛夛紝涓哄叕閽ュ仛璁よ瘉銆傝瘉涔︿腑蹇冪敤鑷繁鐨勭閽ワ紝瀵归矋鍕冪殑鍏挜鍜屼竴浜涚浉鍏充俊鎭竴璧峰姞瀵嗭紝鐢熸垚"鏁板瓧璇佷功"锛圖igital Certificate锛夈12.椴嶅媰鎷垮埌鏁板瓧璇佷功浠ュ悗锛屽氨鍙互鏀惧績浜嗐備互鍚...
绛旓細CA涓嶄粎瀵规寔鍗′汉銆佸晢鎴峰彂鏀璇佷功锛杩樿瀵硅幏娆剧殑閾惰銆佺綉鍏冲彂鏀捐瘉涔︺傛暟瀛楃鍚嶆槸涓绉嶇被浼煎啓鍦ㄧ焊涓婄殑鏅氱殑鐗╃悊绛惧悕锛浣嗘槸浣跨敤浜嗗叕閽ュ姞瀵嗛鍩熺殑鎶鏈疄鐜帮紝鐢ㄤ簬閴村埆鏁板瓧淇℃伅鐨勬柟娉曘備竴濂楁暟瀛楃鍚嶉氬父瀹氫箟涓ょ浜掕ˉ鐨勮繍绠楋紝涓涓敤浜庣鍚嶏紝鍙︿竴涓敤浜庨獙璇併傛暟瀛楃鍚嶆槸闈炲绉瀵嗛挜鍔犲瘑鎶鏈笌鏁板瓧鎽樿鎶鏈殑搴旂敤銆
绛旓細涓夈闈炲绉鍔犲瘑闈炲绉板姞瀵嗙畻娉曠殑鏍稿績灏辨槸鍔犲瘑瀵嗛挜涓嶇瓑浜庤В瀵嗗瘑閽ワ紝涓旀棤娉曚粠浠绘剰涓涓瘑閽ユ帹瀵煎嚭鍙︿竴涓瘑閽ワ紝杩欐牱灏卞ぇ澶у姞寮轰簡淇℃伅淇濇姢鐨勫姏搴︼紝鑰屼笖鍩轰簬瀵嗛挜瀵圭殑鍘熺悊寰堝鏄撶殑瀹炵幇鏁板瓧绛惧悕鍜岀數瀛愪俊灏併傛瘮杈冨吀鍨嬬殑闈炲绉板姞瀵嗙畻娉曟槸RSA绠楁硶锛屽畠鐨勬暟瀛﹀師鐞嗘槸澶х礌鏁扮殑鍒嗚В锛屽瘑閽ユ槸鎴愬鍑虹幇鐨勶紝涓涓负鍏挜锛屼竴涓槸...
绛旓細CA璇佷功锛圕ertificate Authority锛岃瘉涔棰佸彂鏈烘瀯锛夋槸鏁板瓧璇佷功涓殑涓绉嶃傚叾鍚箟鏄氳繃鏁板瓧绛惧悕鍜闈炲绉瀵嗙爜瀛︾畻娉曪紝楠岃瘉鍜屽垎鍙戞暟瀛璇佷功锛浠ョ‘淇濇暟瀛楄瘉涔︾殑鐪熷疄鎬у拰瀹屾暣鎬э紝浠庤屼繚璇佺綉缁滈氫俊鍜屾暟鎹紶杈撶殑瀹夊叏鍜屽彲淇°傚叾浠栧惈涔夛細1銆佹暟瀛璇佷功绛惧悕 - CA璇佷功浣跨敤闈炲绉板姞瀵嗘妧鏈鏁板瓧璇佷功杩涜绛惧悕锛璇ュ姞瀵嗘妧鏈熀浜庝竴涓...
绛旓細鏈杩戝疄涔犻渶瑕佸啓涓浜涚敓鎴愯瘉涔︾殑鑴氭湰锛屽熸鏈轰細椤轰究鎼炴竻妤氫簡璁稿鍏充簬璇佷功杩欏潡鐨勭枒鎯戙傝鍒拌繖涓鍧椾笢瑗匡紝鍚嶈瘝澶氬埌鐖嗙偢锛屽绉板姞瀵嗐闈炲绉鍔犲瘑銆佸瘑閽ャ佸瘑閽ュ簱銆佸叕閽ャ佺閽ャCA銆佽瘉涔︺佹暟瀛绛惧悕銆乻sh銆乭ttps銆乻sl銆乲eytool銆乷penssl銆丳KCS銆乆.509浠ュ強浠や汉鐪艰姳缂贡鐨勬枃浠跺悗缂鍚嶏紝cer銆乧rt銆乸em銆乲eystore銆乯ks銆乲ey...
绛旓細浜斻佹暟瀛璇佷功鐨勬枃浠舵牸寮忎笌鑷缓CA 鍦ㄦ暟瀛楄瘉涔︾殑浣跨敤杩囩▼涓紝鎴戜滑鐔熺煡鐨勬牸寮忓cer銆乸em銆乸fx绛夋壆婕旂潃閲嶈瑙掕壊銆傚煎緱娉ㄦ剰鐨勬槸锛屼紒涓氬彲浠ヨ嚜寤CA锛浣嗚繖浠呴檺浜庡唴閮紝鍥介檯璁ゅ彲搴﹀彲鑳藉彈闄愩傚叚銆佸瘑閽ヤ氦鎹紝淇濋殰閫氫俊瀹夊叏 闈炲绉鍔犲瘑铏界劧瀹夊叏锛屼絾閫熷害鎱紝鍥犳瀵嗛挜浜ゆ崲闇瑕佺簿蹇冭璁°侾SK瀵嗛挜浜ゆ崲鍒╃敤棰勫厛鍏变韩鐨勫瘑閽ワ紝濡...
