趣谈网络协议学习笔记——HTTPS

简单的理解:HTTPS就是通过非对称加密交换对称加密的密钥,然后使用对称加密加密并传输数据。

数字证书

HTTPS使用非对称加密,需要将公钥发布出去,但是如何能保证公钥是官方网站发布的那个呢?

数字证书就是公钥的身份证。公钥的发布者向权威机构(CA)请求证书,CA使用自己的私钥给发布者签名(签名算法大概就是哈希一下公钥和公钥发布者的信息)。

使用者拿到一个证书后,使用CA的公钥进行解密,如果解密成功并且哈希值能对上,身份验证就通过了。这是一个递归的过程,因为CA的公钥也需要验证,所以CA需要到更权威的机构去申请证书,直到全球几个著名的CA作为Root CA。

数字证书的格式普遍采用的是X.509V3国际标准,一个标准的X.509数字证书包含以下一些内容:

证书的版本信息;
证书的序列号,每个证书都有一个唯一的证书序列号;
证书所使用的签名算法;
证书的发行机构名称,命名规则一般采用X.500格式;
证书的有效期,通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
证书所有人的名称,命名规则一般采用X.500格式;
证书所有人的公开密钥;
证书发行者对证书的签名。

数字证书的格式

PKCS#7 常用的后缀是: .P7B .P7C .SPC。p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。p7r是CA对证书请求的回复,只用于导入。
PKCS#12 常用的后缀有: .P12 .PFX。pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
PKCS#10 Certification Request Standard 是请求证书。
X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT
.der 二进制格式,不含私钥。
.cer 二进制格式,不含私钥
.crt 可能是文本,也可能是二进制,不含私钥。
.pem 文本格式,可以包含私钥。如果只有私钥,一般使用.key作为后缀。
.pfx,.p12 二进制格式,同时包含证书和私钥。

使用openssl进行证书各种格式转换。

HTTPS连接建立过程(图来自极客时间刘超专栏《趣谈网络协议学习笔记》):
趣谈网络协议学习笔记——HTTPS_第1张图片

你可能感兴趣的:(网络)