一  PKI 证书体系

概念： 'PKI'、'CA'、'数字证书'、'证书链'、'数字签名'之前'讲解'的公钥'不同于'https站点所获取的'证书',公钥只是数字证书的'一部分'信息说明： 以下内容仅作为'个人'笔记

华为云证书管理服务 CCM

①   基础

PKI目前有一系列'标准规范'定义,主要包括:

②  CA机构

关键字： root CAs 和 intermediates CAs1、CA的组织结构是一个'树'结构,多'阶'组成2、一个root CAs下面包含'多个'intermediates CAs备注： 而intermediates'又可以包含'多个intermediates CAs3、root CAs 和 intermediates CAs都可以'颁发证书'给用户备注： 颁发的证书'分别'是root Certificates和intermediates Certificates，4、最终'用户用来认证公钥的证书'则被称为'end-user Certificates'强调： 中间的CA就是'intermediates CAs',它们才会'颁布' end-user certificates

1、根证书 'root certificates' 说明浏览器和操作系统等都会'内置'一些root certificates,称之为trusted root certificates2、intermediates certificates的可靠性又如何'保证'呢？这就是涉及到'证书链', Certificate Chain ,'链式向上'验证证书

证书链

③  签发证书流程

说明： PKI的以下三个'组件'负责证书的'生命周期'

1、生成'公私钥'之后,把'公钥和个人的身份信息'发起一个'申请'给一个CA认证机构遗留： '个人'信息包含的内容'后续'讲解2、CA'审核身份信息'没有问题后3、接着会用'CA机构自身的私钥'对这些信息进行加密,加密之后生成一个'数字证书'就叫作'公钥证书'

④   签名与验签流程

思考： 为什么'CA机构'颁发'公钥数字证书'能起到'身份验证'的作用呢?

说明： 通信双方'认证对方'的数字证书时的'细节'

ssl双向验证  ssl_verify_depth的作用  ssl_verify_depth 0 1 2 含义

nginx双向认证配置proxy_ssl_verify_depth详解

遗留： 1、证书的'深度'探究2、证书'拼接',也即把'中间层CA机构'的证书也放入其中

如何解决缺少中间层导致SSL证书链不完整   openssl如何将证书格式转换为PEM格式

https双向认证

⑤  证书信任链

 证书链    证书信任链图谱  证书信任链

中间人:  '权威CA' 机构 就是'中间层代理' CA机构,'区别'根CA机构补充： 每一个中间CA机构都由'上一层'CA机构做'信用背书'  --> '担保'

说明： '校验'证书链

⑥  PKI 公钥基础设施

公钥数字证书的'运作'体系  --> PKI公钥基础设施说明： 'CRL'比较慢,现在采用'OCSP'

说明： 'PKI'的运作流程

注意事项： 'ECDHE'的TLS通信协议中,'密钥协商'并'不使用'对方证书中的公钥

⑦   公钥证书类型

各类型SSL证书之间的区别

核心： 不同证书类型适用的'应用'场景、'费用'、'审批流程'、'信任等级'和'安全性'不同补充： 三者本身的'加密程度'而言是'一样'的,但是对'用户的身份的校验'不同

⑧  域名类型

如何选择域名类型

关键字： '单域名'、'多域名'、'泛域名'备注：  如何从'证书'中判断域名的'支持'形式?

⑨   华为云证书支持的加密算法

重点： 学好'RSA'和'ECC'后续: 不再从'原理'角度学习,而是从'实战'角度进行理解

遗留： 有些'约定俗成'的名字或者'后缀' --> der、pem、csr、crt

java证书  证书FAQ

二   答疑解惑