加密与安全_探索数字证书

文章目录

  • Pre
  • 概述
  • 使用keytool生成证书
  • 使用Openssl生成证书 (推荐)
  • 证书的吊销
  • 小结

在这里插入图片描述


Pre

PKI - 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证

PKI - 04 证书授权颁发机构(CA) & 数字证书

PKI - 数字签名与数字证书


概述

数字证书是一种重要的安全标准,它集成了多种密码学算法,以确保数据的安全性、完整性和可信度。在数字化信息传输中,

  • 摘要算法用于验证数据的完整性
  • 非对称加密算法用于加密和解密数据
  • 签名算法则用于验证数据的来源和确保抗否认性

将这些算法集合到一起,并依据一套完善的标准来管理,形成了数字证书的体系。

通过数字证书,用户可以实现数据加解密、身份认证和签名等多种功能。其中,最重要的作用之一是防止中间人攻击。这是通过采用链式签名认证来实现的。具体而言,数字证书的签发是通过根证书(Root CA)对下一级证书进行签名,依此类推,直到最终用户证书。由于根证书被内置于操作系统中,因此任何经过CA认证的数字证书都可以对其本身进行校验,从而确保证书的真实性和可信度,防止了伪造和篡改的可能性。

总的来说,数字证书不仅集成了多种密码学算法,实现了数据的安全传输和存储,还通过签名认证机制,确保了数字身份的真实性和完整性,有效地防范了网络攻击和信息泄露的风险。


使用keytool生成证书

keytool -storepass 123456 -genkeypair -keyalg RSA -keysize 1024 -sigalg SHA256withRSA -validity 3650 -alias mycert -keystore my.keystore -dname "CN=www.artisan.com, OU=sample, O=sample, L=BJ, ST=BJ, C=CN"

在这里插入图片描述

  • -storepass 123456: 指定密钥库的密码。密码为123456
  • -genkeypair: 生成密钥对,包括一个公钥和一个私钥。
  • -keyalg RSA: 指定生成密钥对时要使用的算法。使用RSA算法。
  • -keysize 1024: 指定生成的密钥的大小(以位为单位)。密钥的大小为1024位。
  • -sigalg SHA256withRSA: 指定用于签名密钥的算法和哈希算法。使用SHA256withRSA作为签名算法。
  • -validity 3650: 指定生成的证书的有效期限。证书有效期为3650天(大约10年)。
  • -alias mycert: 指定生成的密钥对的别名。别名为mycert
  • -keystore my.keystore: 指定生成的密钥对和证书存储在的密钥库文件的路径。密钥库文件为my.keystore
  • -dname "CN=www.artisan.com, OU=sample, O=sample, L=BJ, ST=BJ, C=CN": 指定用于生成证书的主题信息,包括通用名称(CN)、组织单位(OU)、组织(O)、城市(L)、省/州(ST)和国家(C)。主题信息为CN=www.sample.com, OU=sample, O=sample, L=BJ, ST=BJ, C=CN,表示通用名称为www.sample.com,组织单位为sample,组织为sample,城市为北京,省/州为北京,国家为中国。

执行上述命令,JDK会在当前目录创建一个my.keystore文件,并存储创建成功的一个私钥和一个证书,它的别名是mycert。
在这里插入图片描述

密钥库(key store)存储的数字证书可以用于加密、解密和签名等操作。

  1. 加密与解密:数字证书通常用于公钥加密和解密。发送方可以使用接收方的公钥加密数据,而接收方使用其相应的私钥来解密数据。这种方式确保了数据在传输过程中的安全性。

  2. 签名:数字证书也常用于数字签名。发送方使用自己的私钥对消息进行签名,接收方使用发送方的公钥验证签名。这种方式可以确保消息的完整性和真实性,同时也可以验证消息的发送者身份。

  3. 身份验证:数字证书还可用于身份验证。例如,在SSL/TLS握手过程中,服务器会将其数字证书发送给客户端,客户端可以验证服务器的身份,并使用服务器的公钥加密通信数据,以确保通信的安全性。

通过以上方法,数字证书在加密通信、数据完整性验证和身份认证等方面都发挥着重要作用,是安全通信的基础之一。


使用Openssl生成证书 (推荐)

请参考我的另外一篇博文: PKI - 数字签名与数字证书


证书的吊销

证书的吊销是指证书颁发机构(CA)在证书的有效期内,因某种原因取消了对该证书的信任。吊销证书是确保网络安全的重要步骤,因为它可以阻止使用已被证明不再可信的证书进行通信。以下是有关证书吊销的介绍:

  1. 原因

    • 私钥丢失或泄露:如果证书的私钥丢失或泄露,攻击者可能会使用它进行恶意行为,因此需要吊销证书。
    • 证书信息错误:如果证书中的信息(如主题名称、组织信息等)不正确,可能会导致信任问题,需要吊销证书。
    • 证书持有者不再信任:如果证书持有者不再被信任,可能会因其不当行为或其他原因而需要吊销证书。
    • 证书过期或无效:如果证书的有效期已过或由于其他原因导致证书无效,可能需要吊销证书。
  2. 吊销方法

    • 证书吊销列表 (CRL):CA 可以维护一个 CRL,列出所有已被吊销的证书。客户端可以定期检查此列表以确认证书的状态。
    • 在线证书状态协议 (OCSP):OCSP 允许客户端向 CA 查询证书的状态,以确定证书是否已被吊销。
    • CA 签发的 OCSP 响应:CA 可以提供签名的 OCSP 响应,证明特定证书的状态,而无需访问 CRL。
  3. 影响

    • 安全性提升:吊销证书可以防止使用失效或不可信的证书进行恶意活动,提升网络通信的安全性。
    • 信任维护:保持证书的有效性和可信任性有助于维护网络通信的信任关系。
    • 合规性要求:某些行业标准和法规要求及时吊销不再有效的证书,以符合合规性要求。

证书吊销是保障网络安全的重要机制之一,CA 和网络管理员应定期检查和管理吊销证书,以确保网络通信的安全性和可信任性。


小结

数字证书是一种用于在互联网上验证身份和加密通信的安全工具。以下是数字证书的总结:

  1. 定义

    • 数字证书是一种由权威机构颁发的电子文档,用于证明某个实体的身份信息,例如网站、个人或组织。
  2. 组成

    • 公钥:用于加密通信的密钥,可由任何人访问。
    • 私钥:用于解密通信的密钥,仅由证书持有者拥有。
    • 证书持有者信息:通常包括姓名、电子邮件地址等个人或组织信息。
    • 数字签名:由证书颁发者用其私钥加密的信息,用于验证证书的真实性和完整性。
  3. 作用

    • 身份验证:通过验证证书中的信息,可以确认通信方的身份。
    • 加密通信:使用证书中的公钥进行加密,确保通信的机密性。
    • 完整性保护:使用数字签名验证证书的完整性,防止篡改或伪造。
  4. 颁发机构

    • 数字证书由权威的证书颁发机构(CA)签发,例如VeriSign、DigiCert等。
  5. 类型

    • SSL/TLS 证书:用于网站加密通信,确保数据传输的安全性。
    • 代码签名证书:用于数字签名软件或应用程序,确保其来源可信。
    • 电子邮件证书:用于加密和签名电子邮件,保护邮件的安全性和隐私。
  6. 过期与更新

    • 数字证书有一定的有效期限,通常为数年。
    • 过期的证书需要更新,以确保持续的安全性和有效性。

数字证书在互联网通信中扮演着至关重要的角色,为用户提供了安全可靠的通信保障。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/717112.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java面试题(spring框架篇)(黑马 )

树形图: 一、Spring框架种的单例bean是线程安全吗? Service Scope("singleton") public class UserServiceImpl implements UserService{ } singleton:bean在每个Spring IOC容器中只有一个实例 protype:一个bean的定义可以有多个…

【Web安全靶场】xss-labs-master 1-20

xss-labs-master 其他靶场见专栏 文章目录 xss-labs-masterlevel-1level-2level-3level-4level-5level-6level-7level-8level-9level-10level-11level-12level-13level-14level-15level-16level-17level-18level-19level-20 level-1 第一关没有进行任何限制,get请求…

pytorch_神经网络构建6

文章目录 强化学习概念实现qLearning基于这个思路,那么解决这个问题的代码如下 强化学习概念 强化学习有一个非常直观的表现,就是从出发点到目标之间存在着一个连续的状态转换,比如说从状态一到状态456,而每一个状态都有多种的行为&#xff…

全国青少年软件编程(Python)等级考试试卷(一级) 测试卷2021年12月

第 1 题 【 单选题 】 下面程序的运行结果是什么?( ) a10 b5 ca*b print(c) A :10 B :15 C :50 D :5 正确答案:C 试题解析: 第 2 题 【 单选题 】 与a>b and b>c等价的是?( ) A…

Libevent的使用及reactor模型

Libevent 是一个用C语言编写的、轻量级的开源高性能事件通知库,主要有以下几个亮点:事件驱动( event-driven),高性能;轻量级,专注于网络,不如 ACE 那么臃肿庞大;源代码相当精炼、易读…

aop监控spring cloud接口超时,并记录到数据库

引入pom <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation"http://maven.apache.org/POM/4.0.0…

宝塔面板安装各种组件以及部署应用服务

在linux服务器安装宝塔面板 一、从宝塔官网下载exe安装包&#xff0c;安装命令从宝塔官网&#xff08;https://www.bt.cn/&#xff09;获取 yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh二、安…

自动驾驶加速落地,激光雷达放量可期(上)

1 激光雷达应用广泛&#xff0c;汽车有望成最大催化 激光雷达&#xff08;LiDAR&#xff09;是一种主动遥感技术&#xff0c;通过测定传感器发出的激光在传感器与目标物体之间的传播距离&#xff0c;来分析目标地物表面的反射能量大小、反射波谱的幅度、频率和相位等信息&#…

一文扫盲:订单管理系统,订单是公司生命线。

hello&#xff0c;我是贝格前端工场&#xff0c;本期给大家分享订单管理系统的知识点&#xff0c;欢迎老铁们点赞、关注&#xff0c;如有需求可以私信我们。 一、什么是订单管理系统 单管理系统是一种用于管理和处理订单的软件系统。它通常用于企业、电子商务平台、零售店等需…

技术小知识:面向对象和过程的区别 ⑤

一、思想区别 面相对象&#xff1a;始终把所有事情思考归类、抽离封装成对象来调用完成。 面向过程&#xff1a;直接平铺展开按顺序执行完成任务。 面向对象多了很多对象的创建、使用&#xff0c;销毁的过程资源消耗。是一种模块化编程思想。 https://www.cnblogs.com/kuangmen…

网络爬虫弹幕

1.分析网页&#xff0c;获取代码&#xff0c;提取时间 想要提取出弹幕所在的节点&#xff0c;我们要使用 Beautiful Soup 解析模块&#xff0c;需要从 bs4 中导入 BeautifulSoup 模块 创建一个 BeautifulSoup 对象&#xff0c;传入变量 xml 和解析器 lxml&#xff0c;将该对象赋…

2.2 mul、div、and、or乘除指令及所有寄存器英文名

汇编语言 1. mul乘指令 两个相乘的数&#xff0c;要么都是8位&#xff0c;要么都是16位 两个8位数相乘 一个默认放在al中&#xff0c;另一个放在8位reg或内存字节单元中8位乘法&#xff0c;结果默认放在ax中例如&#xff1a;计算100*10 100和10小于255&#xff0c;可以做8位…

信息系统安全与对抗-作业2

目录 1、使用自己姓名拼音创建一个账户&#xff0c; 并使用命令和图形化查看 2、使用自己拼音打头字母创建一个隐藏账户 &#xff0c;并使用命令和图形化查看 3、使用命令启动 telnet 服务 4、使用命令打开防火墙 23 端口 5、熟悉LINUX系统&#xff0c;使用命令行创建用户…

Spring Cloud Nacos集成Seata2.0 AT模式

Spring Cloud Nacos集成Seata2.0 AT模式 以CentOS 7为例&#xff0c;介绍Spring Cloud Nacos集成Seata2.0 AT模式的流程。分成两个步骤&#xff1a;1.安装配置seata-server、2.项目集成seata-client 一、下载seata-server安装包 根据自己的操作系统选择要下载的安装包格式&a…

2023年第十四届蓝桥杯大赛软件类省赛C/C++大学A组真题

2023年第十四届蓝桥杯大赛软件类省赛C/C大学A组部分真题和题解分享 文章目录 蓝桥杯2023年第十四届省赛真题-平方差思路题解 蓝桥杯2023年第十四届省赛真题-更小的数思路题解 蓝桥杯2023年第十四届省赛真题-颜色平衡树思路题解 蓝桥杯2023年第十四届省赛真题-买瓜思路题解 蓝桥…

05-Linux部署MySQL

Linux部署MySQL 在今后的使用过程中&#xff0c;需要频繁使用Linux系统&#xff0c;所以在Linux上安装软是必不可少的操作 。 前置要求 需要学习前四章知识&#xff0c;初识Linux、Linux基础命令、Linux权限管理、Linux高阶技巧这4个章节。需要开启多态虚拟机&#xff0c;电…

KubeSphere简介,功能介绍,优势,架构说明及应用场景

KubeSphere 是在目前主流容器调度平台 Kubernetes 之上构建的企业级分布式多租户容器平台&#xff0c;提供简单易用的操作界面以及向导式操作方式&#xff0c;在降低用户使用容器调度平台学习成本的同时&#xff0c;极大减轻开发、测试、运维的日常工作的复杂度&#xff0c;旨…

每日一题 — 快乐数

202. 快乐数 - 力扣&#xff08;LeetCode&#xff09; 思路&#xff1a; 可以借用判断链表是否有环的思想&#xff1a; 定义快慢指针&#xff08;两个变量赋值就行&#xff09;快指针走两次&#xff0c;慢指针走一次快慢指针相遇&#xff0c;看是不是等于一 public int bitSum(…

缓存相关问题:雪崩、穿透、预热、更新、降级的深度解析

✨✨祝屏幕前的小伙伴们每天都有好运相伴左右✨✨ &#x1f388;&#x1f388;作者主页&#xff1a; 喔的嘛呀&#x1f388;&#x1f388; 目录 引言 1. 缓存雪崩 1.1 问题描述 1.2 解决方案 1.2.1 加锁防止并发重建缓存 2. 缓存穿透 2.1 问题描述 2.2 解决方案 2.2.1 …

【解决方案】ArcGIS Engine二次开发时,运行后出现“正尝试在 OS 加载程序锁内执行托管代码。不要尝试在 DllMain...”

我们在做ArcGIS Engine二次开发时&#xff0c;特别是新手&#xff0c;安装好了开发环境&#xff0c;满怀信心的准备将按照教程搭建好的框架在Visual Studio中进行运行。点击运行后&#xff0c;却出现了“正尝试在 OS 加载程序锁内执行托管代码。不要尝试在 DllMain 或映像初始化…