局域网内多台机器使用自签发证书架设https网站一:原理

栏目: 服务器 · 发布时间: 6年前

内容简介:关键词:数字证书自签发数字证书

关键词:

数字证书

自签发数字证书

根证书

网站证书

makecert.exe

itisscg.exe

这个证书真麻烦啊,搞死了。不过,弄清楚以后,回头看,也不是那么难理解。

我先来梳理一下:

https与数字证书联系在一起。所谓的https,就是采用了SSL协议的http。SSL协议负责加密通信,采用对称加密。但采用哪种加密方法,密钥如何,在客户端与服务器建立连接之初是协商产生的。而这个协商步骤,采用了非对称加密。非对称加密,就牵扯到公钥私钥。私钥自己保管,公钥呢?客户端与服务器如何能保证收到的公钥就是对方提供的?这里就要用到数字证书了。数字证书,负责身份验证。(其中原理,可见拙作《HTTPS》)

然而新的问题又来了。谁来保证数字证书的真伪?答案是权威机构,由他们签发的数字证书有权威性。但这些证书需要购买,我们开发阶段,或者局域网内,采用自签发证书即可。

我们部署一个https网站,以IIS为例,需要在网站里绑定证书(可见拙作《https的证书》)。两个问题:

1、网站需要绑定什么证书?

2、另外,客户端访问网站,是不是也要安装证书?

答案是:

1、网站需要绑定一个能表明自己身份的证书,就是上面说的那个意义上的数字证书

2、网站采用自签发证书的话,客户端也要安装证书;但这个证书与网站的不一样

为什么说网站用自签发证书,访问网站的客户端也要安装证书呢?是因为客户端安装的这个证书,是根证书,就是用于签发网站证书的证书。客户端将这个根证书安装在自己机器上的“受信任的根证书颁发机构”里,然后访问网站的时候,由于该网站的证书就是由这个根证书签发的,所以客户端就会认可、信任这个证书,访问得以顺利进行。

局域网内多台机器使用自签发证书架设https网站一:原理

但我们访问互联网上的一些著名站点,都是https,啥证书都不用,就能很顺畅的打开。这是因为这些大网站都采用了权威机构颁发的证书,浏览器有一个名单,所以我们无须多做什么。

理解了上面的原理,在局域网内,多个站点都改用https就比较水到渠成了。步骤是这样的:

1、以一台机器作为根证书服务器,负责生成根证书

2、所有网站的证书,都由这张根证书来签发

3、访问所有网站的客户端,都导入这张根证书到自己的“受信任的根证书颁发机构”里

如此,https可成矣。

下一篇文章,具体说说如何制作根证书和签发证书。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web Security, Privacy and Commerce, 2nd Edition

Web Security, Privacy and Commerce, 2nd Edition

Simson Garfinkel / O'Reilly Media / 2002-01-15 / USD 44.95

Since the first edition of this classic reference was published, World Wide Web use has exploded and e-commerce has become a daily part of business and personal life. As Web use has grown, so have ......一起来看看 《Web Security, Privacy and Commerce, 2nd Edition》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

MD5 加密
MD5 加密

MD5 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具