证书也叫SSL/TLS数字证书,一个证书由数据和签名两部分组成,证书内容的语法格式遵守 ASN.1, 如下图所示:
主要包含内容如下:
位于证书最末尾,生成签名的公式:Signature = RSA(sha256(Data), IssuerPrivateKey), 签名算法在证书Data域内已经指明,而RSA非对称加密所需的私钥是由签发者提供
CA(Certificate Authority): CA是第三方认证机构,主要是签发证书,检查证书持有者身份的合法性,以及对证书和密钥进行管理
证书链:X.509 除了规范证书的内容之外,还规范了如何获取 CRL 以及 Certificate Chain 的验证算法,比如简书官网证书链如下:
自签名证书:自签名证书是由不受信的CA机构颁发的数字证书,也就是自己签发的证书,常用于测试环境
公私钥:公钥(Public Key)与私钥(Private Key)是通过加密算法得到的一个密钥对,公钥是密钥对外公开的部分,私钥则是非公开的部分,由用户自行保管。两种用法:签名(确认身份)、加密(防止信息泄露)
.pem 后缀的证书都是以“ -- BEGIN与-- END ...”包裹, 内容是base64编码的.der, 以此后缀的证书都是二进制格式,不可读查看证书
openssl x509 -in certificate.pem -text -noout
openssl x509 -in certificate.der -inform der -text -noout
证书格式互转
openssl x509 -in cert.crt -outform der -out cert.der
openssl x509 -in cert.der -inform der -outform pem -out cert.pem
除了命令行,浏览器支持导出证书和查看证书,一些工具网站也支持在线查看证书
该协议是保护web通信的标准,位于TCP/IP协议和各种应用层协议之间,为数据通讯提供安全支持的协议。
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)的关系只是升级后改了个名称,就像IE浏览器和Edge浏览器的关系
SSL1.0 n/a Netscape n/a 存在很多安全问题,网景公司没有将它公之于众
SSL2.0 1995 Netscape n/a 这是第一个被公众所了解的SSL版本
SSL3.0 1996 Netscape rfc6101 由于2.0还是被发现有很多安全问题,Netscape于是设计了3.0,最后IETF将它整理成RFC发布了出来
TLS1.0 1999 IETF rfc2246 TLS 1.0基于SSL3.0,修改不大,在某些场合也被称之为SSL3.1,改名主要是为了和Netscape撇清关系,表示一个新时代的来临。
TLS1.1 2006 IETF rfc4346 发布TLS1.1的首要目标是为了解决几个安全性问题算法是MD5/SHA1
TLS1.2 2008 IETF rfc5246 引了已验证加密,使用单一散列代替用于数字签名的MD5/SHA1组合。默认使用SHA256,并且密码套件可以指定其自身使用的散列。
TLS1.3 TBD IETF TBD 还在开发过程中,draft,目前最新协议,有望成为有史以来最安全版本
HTTPS=HTTP+TLS, 也就是多了一个安全会话层TLS
验证证书合法性:利用对应CA的公钥解密签名数据,对比证书的信息摘要,如果一致则证书合法,同时验证证书相关的域名信息、有效时间等信息。客户端会先验证CA证书的合法性,通过证书链向上找其签发证书,验证其合法性(浏览器会内置权威的证书库), 如果找不到信任的CA,证书判定非法
对接加密的密钥:服务端使用私钥解密后,得到随机数pre-master-key,双方通过3个随机数使用相同的DH密钥交换算法计算得到了相同的对称加密的密钥
关于客户端私钥的使用,网上也有很多人说,是用于协商对称加密算法时,服务端利用客户端公钥加密服务端选定的对接加密算法(密文传输)
单向验证还是双向验证是由服务器端决定的,服务器默认都是使用单向的
目录一.加解密算法数字签名对称加密DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)RSA加密法DSA(DigitalSignatureAlgorithm)ECC(EllipticCurvesCryptography)非对称加密签名与加密过程非对称加密的应用对称加密与非对称加密的结合二.数字证书图解一.加解密算法加密简单而言就是通过一种算法将明文信息转换成密文信息,信息的的接收方能够通过密钥对密文信息进行解密获得明文信息的过程。根据加解密的密钥是否相同,算法可以分为对称加密、非对称加密、对称加密和非
1.错误信息:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:requestcanceledwhilewaitingforconnection(Client.Timeoutexceededwhileawaitingheaders)或者:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:TLShandshaketimeout2.报错原因:docker使用的镜像网址默认为国外,下载容易超时,需要修改成国内镜像地址(首先阿里
最近在学习CAN,记录一下,也供大家参考交流。推荐几个我觉得很好的CAN学习,本文也是在看了他们的好文之后做的笔记首先是瑞萨的CAN入门,真的通透;秀!靠这篇我竟然2天理解了CAN协议!实战STM32F4CAN!原文链接:https://blog.csdn.net/XiaoXiaoPengBo/article/details/116206252CAN详解(小白教程)原文链接:https://blog.csdn.net/xwwwj/article/details/105372234一篇易懂的CAN通讯协议指南1一篇易懂的CAN通讯协议指南1-知乎(zhihu.com)视频推荐CAN总线个人知识总
尝试通过SSL连接到ImgurAPI时出现错误。这是代码和错误:API_URI=URI.parse('https://api.imgur.com')API_PUBLIC_KEY='Client-ID--'ENDPOINTS={:image=>'/3/image',:gallery=>'/3/gallery'}#Public:Uploadanimage##args-Theimagepathfortheimagetoupload#defupload(image_path)http=Net::HTTP.new(API_URI.host)http.use_ssl=truehttp.verify
一、什么是MQTT协议MessageQueuingTelemetryTransport:消息队列遥测传输协议。是一种基于客户端-服务端的发布/订阅模式。与HTTP一样,基于TCP/IP协议之上的通讯协议,提供有序、无损、双向连接,由IBM(蓝色巨人)发布。原理:(1)MQTT协议身份和消息格式有三种身份:发布者(Publish)、代理(Broker)(服务器)、订阅者(Subscribe)。其中,消息的发布者和订阅者都是客户端,消息代理是服务器,消息发布者可以同时是订阅者。MQTT传输的消息分为:主题(Topic)和负载(payload)两部分Topic,可以理解为消息的类型,订阅者订阅(Su
我每次打开终端时都会收到这个错误:警告:PATH设置为RVMruby但未设置GEM_HOME和/或GEM_PATH,请参阅:https://github.com/wayneeseguin/rvm/issues/3212这是在我最近安装zsh(oh-my-zsh)后开始发生的我不知道如何设置GEM_HOME和/或GEM_PATH的路径。 最佳答案 我也面临同样的问题,更改.zshrc中的以下行,exportPATH="/usr/local/heroku/bin:.........."到exportPATH="$PATH:/usr/
我正在尝试使用RubyEventMachine访问使用SSL证书身份验证的HTTPSWeb服务,但我没有让它工作。我编写了以下简单代码块来对其进行端到端测试:require'rubygems'require'em-http'EventMachine.rundourl='https://foobar.com/'ssl_opts={:private_key_file=>'/tmp/private.key',:cert_chain_file=>'/tmp/ca.pem',:verify_peer=>false}http=EventMachine::HttpRequest.new(url).g
出于某种原因,在我的开发机器上,我对通过Net::HTTP执行的HTTPS请求的响应非常非常慢。我试过RestClient和HTTParty,它们都有同样的问题。它似乎是凭空冒出来的。我已毫无问题地提出这些请求数百次,但今天它们的速度慢得令人难以忍受。pry(main)>putsTime.now;HTTParty.get('https://api.easypost.com/v2/addresses');putsTime.now;2015-04-2908:07:08-05002015-04-2908:09:39-0500如您所见,响应耗时2.5分钟。不仅仅是这个EasyPostAPIUR
我看过几个用Ruby编写HTTP代理的例子,例如thisgistbyTorstenBecker,但我如何扩展它来处理HTTPS,又名“中间人”SSL代理?我正在寻找一个简单的源代码框架,我可以扩展它以满足我自己的日志记录和测试需求。更新我已经在使用Charles,aniftyHTTPSproxyapp类似于Fiddler,它本质上是我想要的,只是它被打包在一个应用程序中。我想自己写一个,因为我对过滤和展示有特定的需求。更新二四处浏览后,我对术语的理解有所好转。我不是在寻找完整的“中间人”SSL代理。相反,它将在我的机器上本地运行,因此我可以接受它提供的任何SSL证书。但是,我需要查看我
一、RIPV2协议简介 RIP(RoutingInformationProtocol)路由协议是一种相对古老,在小型以及同介质网络中得到了广泛应用的一种路由协议。RIP采用距离向量算法,是一种距离向量协议。RIP-1是有类别路由协议(ClassfulRoutingProtocol),它只支持以广播方式发布协议报文。RIP-1的协议报文无法携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1不支持非连续子网(DiscontiguousSubnet)。RIP-2是一种无类别路由协议(ClasslessRoutingProtocol),支持路由标记,在路由策略中可根据路由标记对