详细介绍：【网络通讯安全认证的理解：从密钥签名、数字证书到 HTTPS/TLS 流程】

网络通讯安全认证的理解：从密钥签名、数字证书到 HTTPS/TLS 流程

目录

• 网络通讯安全认证的理解：从密钥签名、数字证书到 HTTPS/TLS 流程
• • 一、密钥对（公钥和私钥）和签名的理解
  • • 1.1 公钥
    • 1.2 私钥
    • 1.3 签名
  • 二、证书的理解
  • • 2.1 关于证书是哪里来的
    • 2.2 怎么证明这个证书是真正的证书还是伪造的证书？
    • 2.3 证书的格式
    • 2.4 可用的证书在线解析网站推荐
    • 2.5 证书链、中间证书，客户端证书、根证书的理解
    • • 2.5.1 证书链、中间证书，客户端证书、根证书的关联
      • 2.5.2 既然可以根证书到客户端证书，为什么还需要中间证书？
      • 2.5.3 证书之间是如何验证？
      • 2.5.4 证书是如何被吊销的？
  • 三、HTTPS通讯流程（TLS/SSL）
  • • 通讯过程
    • • 1、根据url上的域名DNS去获取实际的IP地址
      • 2、接下里使用TCP进行连接（三次握手）
      • 3、建立TLS连接（握手阶段）
      • • 步骤 1：客户端发起握手请求（Client Hello）
        • 步骤 2：服务器回应并发送身份凭证（Server Hello + 证书链）
        • 步骤 3：浏览器验证证书链（核心安全校验）
        • 步骤 4：密钥交换与会话密钥生成（ECDHE 算法为例）
        • 步骤 5：握手结束确认
      • 步骤6：通讯加密

一、密钥对（公钥和私钥）和签名的理解

这里假设有通讯方A和通讯方B进行加密通讯。

1.1 公钥

公钥是可以公开的，主要有两个作用
第一个是用来对通讯数据进行加密，如果A发送数据，那么就你需要使用B提供的公钥进行加密，然后B收到数据之后用自己的私钥进行解密。

第二个作用就是用来验证签名，因为签名是由B的私钥生成的，所以就可以用B先前提供给A的公钥进行验证签名是否真的来自于对方，防止数据伪造。

1.2 私钥

私钥是必须保密的，只有自己持有和指导，一旦公开，那数据就没有安全性可言了，主要也是两个作用
第一个是当A使用B的公钥加密数据时候，B就可以使用私钥进行解密
第二个是用于签名的生成，例如B使用私钥生成了签名，那么发送给A，A就可以使用B提供的公钥进行解密。

私钥的格式如下

-----BEGIN PRIVATE KEY-----
MIGTAgSDFSDFSDFDSCSDFDSFDSFEHBHkwdwIBAQQg55Buo2jTJYs2Fmsj
IGcryPcjT4JeD
-----END PRIVATE KEY-----

公钥的格式如下

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzsdaAQYIKoZIz3233QcDQgAE6Xmz1Hi60GBcUYrvuYEr1K9sauPC
p5799jp5xNsdfLk4C05asdsadasfdP4+mgNzmgNz0xGEOltrOndxxaw==
-----END PUBLIC KEY-----

1.3 签名

签名其实可以理解为传统意义上的手写签名。主要为了证明这个文件或者物品是签名的那个人。
在通讯上，若发送者A发送一段数据，那么如果证明这个数据就是A发出的，万一是其他人伪造的呢？以及发送的数据到底有没有存在篡改或者丢失，所以为了解决这两个问题，发送者可以多发送一份数据–签名。

签名的生成和验证过程是什么样的？

A：首先对原始数据（要发送给对方的数据）进行哈希值算法计算，然后使用私钥对这个哈希值进行加密，这个加密数据就是签名。然后将原始数据和签名一起发送给对方。

B：收到原始数据和签名后，使用发送方之前提供的公钥对签名进行解密，若解密失败，说明这个签名不是对方发送的，若解密成功，则确认该数据确确实是对方发送的（作用1），之后可以看到一串哈希值，然后在本地对原始数据进行哈希值计算，最后将两个哈希值进行比较，则可以确认对方发送的数据是否被篡改（作用2）。