一、寫在前面
SSL和IPsec是現在VPN技術中最為常見的,在雲計算的應用環境中,SSL更受企業青睞,至於原因的話簡單的說就是SSL更為簡潔,不需要像IPsec那樣需要額外安裝客戶端,這會帶來軟件維護升級的問題,現在多數的雲計算的服務僅需要一台瀏覽器就可以訪問,而幾乎所有的瀏覽器都默認實現了SSL協議,也就意味着若是使用SSL協議客戶幾乎不用做任何改動,還像以前一樣使用瀏覽器即可。還有些其他原因,在此不贅述,有想了解的可以自行百度。今天要講的主要是SSL協議可以實現的身份認證這一功能。瀏覽器如何在通信開始前確認,要通信的對方就是想要通信的對方,而不是冒名頂替,書上說只需服務器將證書發送給瀏覽器即可,那么這一步驟具體是怎么樣的?為什么這樣就可以完成身份認證?不會擔心其他網站的直接復制證書進行頂替?或者自己制作證書?
二、SSL身份認證
證書的頒發是由可信的第三方(常說的CA)進行的,若你有個域名想要為它申請證書(指通用的證書,不包括自己制作的情形),可以去網上提供證書服務的網站,根據你想要的證書級別交錢,接受審核(不同級別的證書需要經過的審核程度不同),獲得證書了,注意證書內容主要包括,經摘要算法計算過得到的包含網站信息等內容摘要、摘要算法、公鑰(服務器端)等,在證書中呈現的是對上述證書內容的使用CA私鑰簽名的內容。當客戶端收到證書后,可以通過客戶端瀏覽器內置的CA根證書,獲得對應CA機構的公鑰,然后使用公鑰解開私鑰,並根據此時通信對方的信息,使用摘要算法重新計算內容摘要,與使用公鑰獲得的內容摘要進行對比,若一致則可以確認通信對方的身份,否則認為對方是不可信的生成告警信息。
為什么不會但心其他網站直接復制證書?其他網站是可以復制但是在計算摘要的時候會出現不同,即證書認證沒通過。惡意網站是否可以自己制作證書?可以制作證書,但是瀏覽器中不存在與惡意網站自己制作證書相對應的根證書,也就拿不到解開證書的公鑰,證書認證依舊沒有通過,依舊會生成告警信息。
但是如果想測試這一整個身份認證過程,你是可以自己生成CA根證書然后添加到瀏覽器中,然后再制作服務器端的證書,這樣是可以通過身份認證的,但僅限添加了你自己制作了CA根證書的瀏覽器。