一、证书是什么?
1. 简单定义
证书(Certificate) ,通常指数字证书,是一种电子文件,用于证明某个实体(如网站、个人、设备)的身份,并确保信息传输的保密性和完整性。
通俗易懂地说,“证书”相当于网站在互联网中的身份证和印章。
2. 有什么作用
- 身份证:向用户证明:我就是我。比如用户访问A网站,A网站会返回一个证书,证书中会带有域名。如果这个域名和A网站的域名不一致,那么用户就知道自己访问的网站有问题。(A网站返回一个谷歌的证书,用户:这给我干哪来了,这还是国内吗?)
- 印章:用户向A网站要个数据,那么A网站会用证书在数据上盖个章(对数据加密),用户拿到后,看一眼印章(解密),哦没错是你小子给的。
二、证书的核心:公钥基础设施(PKI)
1. 简单定义
PKI 是一个由技术、政策和法律组成的体系,确保网络通信安全。
如上所述,证书有着身份证的功能,在现实世界中,我们只会信任着官方签署的身份证明,比如派出所颁发的身份证、xx大学颁发的学生证等。如果我自己随便找张纸,上面写一句“我是彭于晏”,相信大家都不会认可,因为大家都知道我其实是吴彦祖。 也就是说,互联网上的证书,同样也要专门的机构来颁发,才能获取大伙的信任。 这就是PKI存在的意义。
2. PKI的核心组件
| 组件 | 作用 | 类比 |
|---|---|---|
| 证书颁发机构(CA) | 签发和管理证书的可信第三方(如DigiCert、Let's Encrypt) | 公安局(颁发身份证) |
| 注册机构(RA) | 审核证书申请者的身份 | 派出所(审核材料) |
| 证书数据库 | 存储已签发和已吊销的证书 | 人口管理系统 |
| 终端用户 | 使用证书的实体(如网站、App) | 持身份证的人 |
3. 证书的信任链
当然,一个网站的身份证不会那么简单,往往经过好几个证书颁发机构的认定,也就是网站手里有好几张“证明”。 用户访问网站,网站返回了几个证书,其中一个是自己的身份证,上面有派出所盖的章,另一个是派出所的证明,上面有公安局盖的章,……总之,到了后面,用户一看,哦,最后这个章我认识(浏览器内置的根证书)。
你,合格!
网站证书 → 用中间CA的公钥验证
中间证书 → 用根CA的公钥验证
根证书 → 已在浏览器内置信任列表中
三、证书的生命周期
- 生成密钥对:可以想成是某种特征,方便后面大家根据特征来识别(长胡子的是曹操!)
- 提交CSR:向CA提交证书签名请求(包含公钥、域名等信息)。(我名字叫...出生于...我的照片...我来办身份证了...)
- CA审核:根据证书类型验证身份(如DV只需验证域名,OV/EV需审核企业资料)。(看下户口本!)
- 签发证书:CA用私钥签名,生成证书文件(如
.crt或.pem)。(我以刘德华的名义,认可你是吴彦祖了!) - 部署证书:用户将证书安装到服务器(如Nginx、Apache)。(大家好,新人出道第一天)
- 定期更新:证书通常有效期1-2年,需要定期续签。 (那时候,我还很瘦……少说废话!重新办证!)
- 吊销证书:如果私钥泄露或不再使用,CA可吊销证书。(哈?我身份证被拿去借网贷了?!)
四、总结
其实还有很多相关的内容没有拓展,比如公钥、私钥的原理啦,一些常见的风险啦,但是,要开工了,所以就到这里吧!
哪里不对欢迎大家评论留言哦~
邪王真眼是最强的!
