從工作原理理解ssl證書深度知識(shí)點(diǎn)

  從工作原理理解ssl證書深度知識(shí)點(diǎn)，可能很多人上網(wǎng)都沒(méi)有注意ssl證書，畢竟現(xiàn)在大多數(shù)的網(wǎng)站都是獲得ssl認(rèn)證的，我們也不需要太擔(dān)心網(wǎng)絡(luò)會(huì)出現(xiàn)很多的不良狀況，而且現(xiàn)在的監(jiān)管也是比較嚴(yán)格的。
 
  ssl證書

  通配符SSL又叫泛域名證書，英文名稱為：WildcardCertificates?？梢员Ｗo(hù)一個(gè)域名以及該域名所有的二級(jí)或者三級(jí)子域名，不限制子域名數(shù)量，且添加新的子域名無(wú)須重新審核和另外付費(fèi)，節(jié)約了大量的時(shí)間和金錢成本。例如，一個(gè)單獨(dú)的通配符證書就可以保護(hù)www.bitcert.com、blog.bitcert.com和store.bitcert.com。通配符證書可以保護(hù)通用域名和您在提交申請(qǐng)時(shí)指定的級(jí)別下的所有子域。只需在通用域名左側(cè)的子域區(qū)域添加星號(hào)(*)即可。

  通配符SSL證書（也稱為泛域名證書或WildcardSSL證書）能夠?qū)崿F(xiàn)一張證書保護(hù)同一域名下的所有子域名驗(yàn)證的SSL證書類型，適合擁有多個(gè)子域名的網(wǎng)站使用。通配符型數(shù)字證書在網(wǎng)站部署架構(gòu)比較復(fù)雜的企業(yè)中有著廣泛的一樣，管理和續(xù)費(fèi)等都比普通的證書方便很多。

  通配符證書有兩種驗(yàn)證等級(jí)：DVSSL證書（域名驗(yàn)證）和OVSSL證書（組織驗(yàn)證）。適合擁有大量的二級(jí)域名/子域用戶申請(qǐng)安裝。
  SSL工作原理
  SSL是一個(gè)安全協(xié)議，它提供使用TCP/IP的通信應(yīng)用程序間的隱私與完整性。因特網(wǎng)的超文本傳輸協(xié)議（HTTP）使用SSL來(lái)實(shí)現(xiàn)安全的通信。

  在客戶端與服務(wù)器間傳輸?shù)臄?shù)據(jù)是通過(guò)使用對(duì)稱算法（如DES或RC4）進(jìn)行加密的。公用密鑰算法（通常為RSA）是用來(lái)獲得加密密鑰交換和數(shù)字簽名的，此算法使用服務(wù)器的SSL數(shù)字證書中的公用密鑰。有了服務(wù)器的SSL數(shù)字證書，客戶端也可以驗(yàn)證服務(wù)器的身份。SSL協(xié)議的版本1和2只提供服務(wù)器認(rèn)證。版本3添加了客戶端認(rèn)證，此認(rèn)證同時(shí)需要客戶端和服務(wù)器的數(shù)字證書。

  ssl證書深度知識(shí)點(diǎn)
  SSL連接總是由客戶端啟動(dòng)的，在SSL會(huì)話開始時(shí)執(zhí)行SSL握手，此握手產(chǎn)生會(huì)話的密碼參數(shù)，關(guān)于如何處理SSL握手，下面新網(wǎng)就簡(jiǎn)單概述一下，此示例假設(shè)已在Web瀏覽器和Web服務(wù)器間建立了SSL連接。
  (1)客戶端發(fā)送列出客戶端密碼能力的客戶端“您好”消息（以客戶端首選項(xiàng)順序排序），如SSL的版本、客戶端支持的密碼對(duì)(加密套件)和客戶端支持的數(shù)據(jù)壓縮方法(哈希函數(shù))。消息也包含28字節(jié)的隨機(jī)數(shù)。
  (2)服務(wù)器以服務(wù)器“您好”消息響應(yīng)，此消息包含密碼方法（密碼對(duì)）和由服務(wù)器選擇的數(shù)據(jù)壓縮方法，以及會(huì)話標(biāo)識(shí)和另一個(gè)隨機(jī)數(shù)。
  新網(wǎng)提醒大家：客戶端和服務(wù)器至少必須支持一個(gè)公共密碼對(duì)，否則握手失敗。服務(wù)器一般選擇最大的公共密碼對(duì)。
  (3)服務(wù)器發(fā)送其SSL數(shù)字證書。（服務(wù)器使用帶有SSL的X.509V3數(shù)字證書。）
  如果服務(wù)器使用SSLV3，而服務(wù)器應(yīng)用程序（如Web服務(wù)器）需要數(shù)字證書進(jìn)行客戶端認(rèn)證，則客戶端會(huì)發(fā)出“數(shù)字證書請(qǐng)求”消息。在“數(shù)字證書請(qǐng)求”消息中，服務(wù)器發(fā)出支持的客戶端數(shù)字證書類型的列表和可接受的CA的名稱。
  (4)服務(wù)器發(fā)出服務(wù)器“您好完成”消息并等待客戶端響應(yīng)。
  (5)一接到服務(wù)器“您好完成”消息，客戶端（Web瀏覽器）將驗(yàn)證服務(wù)器的SSL數(shù)字證書的有效性并檢查服務(wù)器的“你好”消息參數(shù)是否可以接受。
  如果服務(wù)器請(qǐng)求客戶端數(shù)字證書，客戶端將發(fā)送其數(shù)字證書；或者，如果沒(méi)有合適的數(shù)字證書是可用的，客戶端將發(fā)送“沒(méi)有數(shù)字證書”警告。此警告僅僅是警告而已，但如果客戶端數(shù)字證書認(rèn)證是強(qiáng)制性的話，服務(wù)器應(yīng)用程序?qū)?huì)使會(huì)話失敗。

  (6)客戶端發(fā)送“客戶端密鑰交換”消息。此消息包含pre-mastersecret（一個(gè)用在對(duì)稱加密密鑰生成中的46字節(jié)的隨機(jī)數(shù)字），和消息認(rèn)證代碼（MAC）密鑰（用服務(wù)器的公用密鑰加密的）。

  如果客戶端發(fā)送客戶端數(shù)字證書給服務(wù)器，客戶端將發(fā)出簽有客戶端的專用密鑰的“數(shù)字證書驗(yàn)證”消息。通過(guò)驗(yàn)證此消息的簽名，服務(wù)器可以顯示驗(yàn)證客戶端數(shù)字證書的所有權(quán)。

  注意：如果服務(wù)器沒(méi)有屬于數(shù)字證書的專用密鑰，它將無(wú)法解密pre-master密碼，也無(wú)法創(chuàng)建對(duì)稱加密算法的正確密鑰，且握手將失敗。
  (7)客戶端使用一系列加密運(yùn)算將pre-mastersecret轉(zhuǎn)化為mastersecret，其中將派生出所有用于加密和消息認(rèn)證的密鑰。然后，客戶端發(fā)出“更改密碼規(guī)范”消息將服務(wù)器轉(zhuǎn)換為新協(xié)商的密碼對(duì)?？蛻舳税l(fā)出的下一個(gè)消息（“未完成”的消息）為用此密碼方法和密鑰加密的第一條消息。
  (8)服務(wù)器以自己的“更改密碼規(guī)范”和“已完成”消息響應(yīng)。

  (9)SSL握手結(jié)束，且可以發(fā)送加密的應(yīng)用程序數(shù)據(jù)。

  ssl證書深度知識(shí)點(diǎn)可能很多人都不知道，畢竟著網(wǎng)絡(luò)技術(shù)很復(fù)雜的，同時(shí)我們使用網(wǎng)絡(luò)一般都是已經(jīng)配置好了，也不需要擔(dān)心各種情況的出現(xiàn)，而且網(wǎng)站管理方也會(huì)幫助用戶處理好這方面的問(wèn)題。