正文

数字证书详解（数字证书的使用流程）

发布时间：2023-04-04 23:34:57 稿源：创意岭阅读： 100

大家好！今天让小编来大家介绍下关于数字证书详解的问题，以下是小编对此问题的归纳整理，让我们一起来看看吧。

创意岭作为行业内优秀的企业，服务客户遍布全球各地，相关业务请拨打电话：175-8598-2043，或添加微信：1454722008

文章目录列表:

1、https证书可靠吗，可信吗
2、https认证要这么弄，要申请https证书吗？
3、勾选认证详解及常见问题分析
4、SSL+socket 详解-概念

数字证书详解（数字证书的使用流程）

一、https证书可靠吗，可信吗

不可信，Firefox、IE等浏览器对不受信的安全证书会出现提醒，如果确认是证书的问题，用的或者是自签名ssl证书。或者是系统代理问题，如果选的使用系统代理，改成自动就可以了。

自签名ssl证书不安全，浏览器不认可。如果是一般的ssl证书，那确认下颁发证书的机构是否受信任，也就是其根证书有没有入根到浏览器中。受信任的机构国外有GlobalSign、Comodo、Go Daddy、 Digicert ，国内的GDCA。

数字证书详解（数字证书的使用流程）

https原理：证书传递、验证和数据加密、解密过程解析：

1、客户端发起HTTPS请求

用户在浏览器里输入一个https网址，然后连接到server的443端口。

2、服务端的配置

采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择，有1年的免费服务)。这套证书其实就是一对公钥和私钥。

3、送证书

这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。

4、客户端解析证书

这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。

如果证书没有问题，那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的，把随机值用锁头锁起来，这样除非有钥匙，不然看不到被锁住的内容。

5、传送加密信息

这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

6、服务端解密信息

服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密。所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥。

不然无法获取内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍，私钥够复杂，数据就够安全。

7、传输加密后的信息

这部分信息是服务端用私钥加密后的信息，可以在客户端被还原

8、客户端解密信息

客户端用之前生成的私钥解密服务端传过来的信息，于是获取了解密后的内容。整个过程第三方即使监听到了数据，也束手无策。

二、https认证要这么弄，要申请https证书吗？

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。https认证即申请https证书，以下详解一下https证书申请的步骤：

第一步、提交CSR文件

首先需要生成SSL证书申请文件CSR(Certificate Signing Request)。选择要申请的SSL证书，提交订单，并将制生成的CSR文件提一起交到所在的SSL CA颁发机构。

第二步、提交订单到证书服务机构CA

在收到SSL证书订单和证书请求CSR文件后，系统初步验证无误自动提交订单到证书服务机构CA。

第三步、发送验证邮件到管理员邮箱

证书服务机构（主要包括Comodo / RapidSSL / GeoTrust / Symantec / Thawte / VeriSign）在收到证书申请文件CSR 文件系统自动发送验证邮件到域名管理员邮箱。

第四步、用户确认验证邮件

进入邮箱后，点击邮件中的链接访问证书服务机构验证网站，查看订单信息，确认无误后点击确认完成邮件验证。

第五步、证书机构签发证书

域名型证书DV SSL一般在用户完成确认验证邮件后1－24小时签发证书；企业型证书OV SSL 与增强型证书EV SSL需要证书服务机构人工验证，验证时间比较长，需要7-15个工作日验证通过后签发证书；成功签发的证书通过邮件发送到用户订购邮箱，也可登录用户中心查询证书，这样网站就能够成功使用SSL证书了。

三、勾选认证详解及常见问题分析

一、勾选认证与扫描认证异同

与传统扫描认证相比，勾选认证有了很大的不同，具体如下图:

二、勾选认证操作

第一步，插上金税盘或者税控盘，打开etax.hntax. gov.cn，点击“增值税专票勾选认证”（可无需登录电子税务局）。

第二步:登录勾选认证平台，密码为数字证书密码。

第三步:点击“发票勾选”，进入勾选认证界面，按图中红色标记所示选择相对应的查询条件，点击“查询”。

第四步:选择需要勾选认证的发票，点击“保存”，提示保存成功。

第五步:点击“勾选确认”进入确认界面，按图中红色标记所示选择条件，点击“查询”。

第六步:选择已经勾选但未确认的发票，点击“确认”，然后按照提示如图所示进行操作，至此发票勾选认证操作已经完成。

点击“抵扣统计”可以查询抵扣的所有情况。

三、注意事项

1、勾选认证不代表已经确认，必须进行“确认勾选”之后才能进入当期抵扣。

2、申报期内可以多次勾选认证。

3、如果在勾选认证平台没有查询到发票信息但又确实已经开具，可晚些时候再进行操作，有可能对方的开具信息没有上传至系统。

4、勾选认证期限跟扫描认证期限一致，2017年6月30日前开具的为180天，2017年7月1日后开具的为360天。

5、使用该平台需要使用数字证书，如果出现数字证书相关的安全提醒，请参照下文进行操作后再认证。设置信任证书

6、只能选择所属期以前日期开具的且未过期的发票，例如5月份进行税款所属期4月份的勾选认证，那么只能勾选认证4月30日前开具的发票，以开具日期为准。

四、SSL+socket 详解-概念

SSL协议采用数字证书及数字签名进行双端实体认证，用非对称加密算法进行密钥协商，用对称加密算法将数据加密后进行传输以保证数据的保密性，并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造，从而为敏感数据的传输提供了一种安全保障手段。

SSL协议提供的服务主要有：

1）认证用户和服务器，确保数据发送到正确的客户机和服务器

认证用户和服务器的合法性，使它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，这些识别号由公开密钥进行编号，为验证用户是否合法，SSL协议要求在握手交换数据时进行数字认证，以此确保用户的合法性。

2）加密数据以防止数据中途被窃取

SSL协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机和服务器进行数据交换前，交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术对其进行加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。

3）维护数据的完整性，确保数据在传输过程中不被改变

SSL协议采用Hash函数和机密共享的方法提供信息的完整性服务，建立客户机和服务器之间的安全通道，使所有经过SSL协议处理的业务在传输过程中能全部完整准确无误的到达目的地。

SSL体系结构：

SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它是客户/服务器应用之间的通信不被攻击抓取,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL体系结构如图1所示。

SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它是客户/服务器应用之间的通信不被攻击抓取,并且始终对服务器进行认证,还可以选择对客户进行认证。

在SSL通讯中，首先采用非对称加密交换信息，使得服务器获得浏览器端提供的对称加密的密钥，然后利用该密钥进行通讯过程中信息的加密和解密。为了保证消息在传递过程中没有被篡改，可以加密HASH编码来确保信息的完整性。SSL通讯过程，如图2所示。

一般情况下，当客户端是保密信息的传递者时，客户端不需要数字证书验证自己身份的真实性，如电子银行的应用，客户需要将自己的账号和密码发送给银行，因此银行的服务器需要安装数字证书来表明自己身份的有效性。在某些应用中，服务器端也需要对客户端的身份进行验证，这时客户端也需要安装数字证书以保证通讯时服务器可以辨别出客户端的身份，验证过程类似于服务器身份的验证过程。

SSL Socket通信是对Socket通信的拓展。在Socket通信的基础上添加了一层安全性保护，提供了更高的安全性，包括身份验证、数据加密以及完整性验证。

SSL Socket双向认证实现技术： JSSE（Java Security Socket Extension ），它实现了SSL和TSL（传输层安全）协议。在JSSE中包含了数据加密，服务器验证，消息完整性和客户端验证等技术。通过使用JSSE，可以在客户机和服务器之间通过TCP/IP协议安全地传输数据。为了实现消息认证：

密钥和授权证书的生成方法：

使用Java自带的keytool命令，在命令行生成。

1、生成服务器端私钥kserver.keystore文件

keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore

2、根据私钥，导出服务器端安全证书

keytool -export -alias serverkey -keystore kserver.keystore -file server.crt

3、将服务器端证书，导入到客户端的Trust KeyStore中

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

4、生成客户端私钥kclient.keystore文件

keytool -genkey -alias clientkey -validity 1 -keystore kclient.keystore

5、根据私钥，导出客户端安全证书

keytool -export -alias clientkey -keystore kclient.keystore -file client.crt

6、将客户端证书，导入到服务器端的Trust KeyStore中

keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

生成的文件分成两组，服务器端保存：kserver.keystore tserver.keystore 客户端保存：kclient.keystore tclient.kyestore。

客户端采用kclient.keystore中的私钥进行数据加密，发送给服务端，服务器端采用tserver.keystore中的client.crt证书对数据解密，如果解密成功，证明消息来自可信的客户端，进行逻辑处理；服务器端采用kserver.keystore中的私钥进行数据加密，发送给客户端，客户端采用tclient.keystore中的server.crt证书对数据解密，如果解密成功，证明消息来自可信的服务器端，进行逻辑处理。如果解密失败，那么证明消息来源错误。不进行逻辑处理。

SSL Socket双向认证的安全性：

（1）可以确保数据传送到正确的服务器端和客户端。

（2）可以防止消息传递过程中被窃取。

（3）防止消息在传递过程中被修改.。

在系统运行中可能出现以下情况：

（1）服务器端、客户端都持有正确的密钥和安全证书，此时服务器端和客户端可以进行正常通信。

（2）客户端的密钥和安全证书不正确，此时服务器端和客户端不可以进行正常通信。

（3）客户端未持有密钥和安全证书，此时服务器端和客户端也不可以进行正常通信。

以上就是小编对于数字证书详解问题和相关问题的解答了，如有疑问，可拨打网站上的电话，或添加微信。