SSL安全證書-概念解析

一、關于證書

數字證書是一種認證機制。簡單點說，它代表了一種由權威機構頒發授權的安全標志。

由來

在以前，傳統網站采用HTTP協議進行數據傳輸，所有的數據幾乎都用的明文，很容易發生隱私泄露。為了解決安全問題，大家開始考慮采用加解密的方案，于是乎誕生了公鑰加密(非對稱加解密)及簽名算法。瀏覽器從服務端得到公鑰，經過協商并生成動態密鑰，此后所有的請求響應都基于動態密鑰加解密。然而對于瀏覽器而言，是不是所有聲稱了 HTTPS 的服務器都值得信任呢。答案是否定的，服務器必須提供一個憑證以證明自己值得信任，于是乎這就有了證書，通常的證書里面則包含了公鑰。瀏覽器與服務器進行加密數據傳輸的前提是服務器證書受到信任，即存在于瀏覽器的受信任證書列表中。

二、PKI - 公鑰基礎設施

Public Key Infrastructure，是基于公開密鑰技術所構建的，用以解決網絡安全問題的通用基礎平臺。其服務范圍包括公鑰管理、提供認證、加密、完整性和可追究性服務。
PKI 幾乎可以代言整個公鑰技術體系標準。從概念上，PKI 涵蓋了 PMI （權限管理），然而實質上 PKI 不僅如此，目前只要是基于公鑰技術實現網絡安全的所有協議、組件、服務等都從屬于 PKI，包括上述的證書。

PKI 的關鍵元素：

1 數字證書 Certificate
2 證書簽署機構 CA 及批準機構 RA
3 存儲目錄
4 證書策略、證書路徑及使用者

三、CA - 證書授權中心

Certificate Authority，CA 是負責發放并管理數字證書的第三方權威機構，它負責管理 PKI 體系中的所有組織、個人、以及他們持有的的數字證書，將用戶的公鑰及用戶的其他信息捆綁在一起，在網上驗證用戶的身份。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。

CA 的層級結構

CA建立自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發證書并認證
如github的證書層級：

CA 的功能：

證書頒發：接收、驗證及受理用戶(包括下級認證中心和最終用戶)的數字證書的申請。
證書更新：認證中心可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書
證書查詢：查詢當前用戶證書申請處理過程；查詢用戶證書的頒發信息，這類查詢由目錄服務器LDAP來完成
證書作廢：由于用戶私鑰泄密等原因，需要向認證中心提出證書作廢的請求；證書已經過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表 (Certificate Revocation List,CRL) 來完成上述功能。
證書的歸檔：證書具有一定的有效期，證書過了有效期之后就將作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名，這時我們就需要查詢作廢的證書。
來源：

四、Certificates 數字證書

主要構成

申請者信息；
申請者公鑰；
簽發機構CA及數字簽名
證書有效期

證書標準

x.509 是PKI 體系中最基礎的標準，它最先定義了公鑰證書的基本結構：
SSL公鑰證書
證書廢除列表CRL(Certificate revocation lists)
PKCS#12
windows 平臺及 mac平臺使用的證書標準，通常使用 pfx/p12 作為文件擴展名，
該標準在X509的基礎之上增加了私鑰及存取密碼。

編碼格式

PEM - Privacy Enhanced Mail, BASE64編碼，可讀
Apache和Unix/Linux 服務器采用的編碼格式.
DER - Distinguished Encoding Rules,二進制格式,不可讀.
Windows 服務器采用的編碼格式.

文件擴展名

pem/der 數字證書，編碼格式與其名稱對應；
crt 數字證書，常見于unix/linux系統；
cer 數字證書，常見于windows系統；
key 非證書，一般是公鑰或私鑰文件；
csr certificate signing request，證書簽名請求文件；
pfx/p12 - predecessor of PKCS#12，是PKCS#12 標準的證書文件，
同時包含了公鑰和私鑰，存取時需提供密碼，采用DER 編碼