Web网页文件中已经包含了SSL证书,当网页文件被加载后,用户无需进行相应的SSL策略的配置(设备有默认的SSL策略) 。但为了保证安全性,可以从CA(Certificate Authority)处重新获取数字证书,然后进行手动配置SSL策略 。
配置HTTPS和HTTP方式,需要在作为服务器的设备上部署SSL策略,并加载数字证书,数字证书主要用来客户端对服务器端身份的验证 。用户可以直接使用设备提供的SSL证书和默认的SSL策略 。
配置此方式必须要了解的几个概念:
1、CA(Certificate Authority):
CA是发放、管理、废除数字证书的机构 。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理 。
国际上被广泛信任的CA,被称之为根CA 。根CA可授权其它CA为其下级CA 。CA的身份也需要证明,而证明信息在信任证书机构文件中描述 。
例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书 。
如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始 。先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性 。
只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功 。
文章插图
图5 证书签发过程与证书验证过程示意图
证书签发过程与证书验证过程如上图5所示 。
2、数字证书:
数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系 。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容 。
数字证书的作用使网上通信双方的身份得到了互相验证,提高了通信的可靠性 。用户必须事先获取信息发送者的公钥证书,以便对信息进行解码认证,同时还需要CA发送给发送者的证书,以便用户验证发送者的身份 。
3、证书撤销列表CRL(Certificate Revocation List):
CRL由CA发布,它指定了一套证书发布者认为无效的证书 。
数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命 。CRL指定的寿命通常比数字证书指定的寿命要短 。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明 。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小 。
在PC上可以加载验证服务器数字证书以上的各级证书(也称信任证书)及CRL,也可以不加载,如果未加载,则在连接建立时提示用户是否信任对方,如果点击信任则连接建立成功,不信任则连接无法建立 。
此时客户端无法对服务器端的数字证书进行验证,但是可以保证双方数据传输的私密性 。为了确保访问的是合法的Web服务器,可以在PC上加载信任证书和CRL 。
【登陆华为交换机路由器的四种方式】
推荐阅读
- VRRP 华为防火墙双机热备的配置实例
- 3分钟学会监控交换机简单配置
- 路由器交换机基础配置命令行显示信息设置
- 交换机配置文件备份与恢复示例
- 华为|麒麟990 5G还能再战!华为P40 Pro重新上架:价格还是5988元
- 通过console配置telnet登陆配置示例
- 华为防火墙NAT服务器原理是这样配置的,终于明白了
- 香港鑫记茶庄代理冻顶乌龙茶登陆大陆茶市
- 华为交换机路由器命名规则
- 解决Docker命令行登陆Harbor报警的问题