为了满足互联网环境下电子商务等行为的安全性要求,需要有个方法确认身份。证书就是为了证明这个网站的身份
假如A服务器上部署了证书,证明我是张三,而B服务器只是假冒了张三,但并没有张三的证书,那他就不是真的,那么想要和张三通信就只能去A服务器
各种系统没办法防止被骗,但在出厂的时候就将各种证书植入到了操作系统中,IOS、Windows等等
操作系统一出厂就有根证书,可以通过根证书来验证是否为真正的证书
X.509证书体系
X.509 证书是基于广泛接受的国际电信联盟 (ITU) X.509 标准的数字证书,该标准定义了公钥基础设施 (PKI) 证书的格式。它们用于管理互联网通信和计算机网络中的身份和安全。
应用于密码学,公钥和私钥对用于加密和解密消息,确保发送者的身份和消息本身的安全性。基于 X.509 的 PKI 最常见的用例是传输层安全性 (TLS)/安全套接字层 (SSL),它是 HTTPS 协议的基础,可实现安全的 Web 浏览。但 X.509 协议也适用于应用程序安全、数字签名和其他关键互联网协议的代码签名。
总体来说,X.509 证书的常见应用包括:
- SSL/HTTP和HTTPS用于经过身份验证和加密的网页浏览
- 通过S/MIME协议签名和加密的电子邮件
- 代码签名
- 文件部署
- 客户端认证
- 政府签发的电子身份证
每个X.509证书都包含一个公钥、数字签名以及与证书相关的身份及其颁发证书颁发机构(CA)的相关信息
?公钥包含在证书中,公钥还包括私钥的密钥对的一部分
公钥或私钥对允许私钥的所有者对文档进行数字签名;任何拥有相应公钥的人都可以验证这些签名;允许第三方发送使用公钥加密的消息,只有私钥的所有者才能解密
数字签名是已使用私钥加密的文档的编码散列(固定长度摘要)。当 X.509 证书由公开信任的 CA(例如 SSL.com)签名时,第三方可以使用该证书来验证提供它的实体的身份。
并非所有 X.509 证书的应用程序都需要公共信任。例如,公司可以颁发自己的私有可信证书供内部使用。
证书链/信任链
X.509证书通常组合成链进行验证
*.csdn.net的证书是由GeoTrust CN RSA CA G10该中间证书签名,再往上,由DigiCert根证书签名
?
如何工作
X.509 标准基于一种称为抽象语法表示法 (ASN.1)的接口描述语言,它定义了可以跨平台方式进行序列化和反序列化的数据结构。利用 ASN,X.509 证书格式使用相关的公钥和私钥对来加密和解密消息。
公钥的密钥大小或比特长度决定了保护的强度。例如,2048 位 RSA 密钥通常用于 SSL 证书、数字签名和其他数字证书。