如何将客户端证书下载并安装到客户端计算机
how is client certificate downloaded and installed to client computer
我问这个问题是因为我认为当我们尝试访问某些启用 https 的网站(例如 gmail、facebook、我们的网上银行)时,我们不会下载或安装客户端证书。
那我们如何确定从我们的机器发送的信息是正确加密的呢?
谢谢。
None 您列出的示例使用了客户端证书,也许您的网上银行除外。
客户端证书是您作为客户端发送到服务器以验证您自己的证书。这也称为 "two-way TLS" 或 "mutual TLS" 身份验证。
VPN 服务是一个特别常见的例子,它使用双向 TLS。在网络上,它通常只用于服务器到服务器的身份验证,因为它很难设置和维护以供实际人员使用(但一些银行确实提供它作为一个选项)。
你真正想的是,你怎么知道互联网上网站的服务器证书是有效的,而不需要手动导入它们。答案很简单 - 您已经预装了它们……有点。
当然,您实际上并没有网络上每个启用 TLS 的网站的证书(那是不可能的),但是网络浏览器附带一组根 CA 证书,可以验证它们。
它的工作方式叫做 "chain of trust",它是这样的:
- 几乎每个人都信任的根证书颁发机构 (CA) 数量有限。所有 CA 都有一个或多个自签名 "root" 证书,这些证书预装在您的 Web 浏览器中。
- 根 CA 向自己或 "sub-CAs"(例如,经销商,或企业中其他不太受信任的机构)颁发 "intermediate" 证书,方法是使用其根证书对证书进行签名。
- 中间 CA 然后为最终客户(此处的客户指购买证书的实体)签署和颁发个人证书。这些称为 "leaf" 证书。
从技术上讲,中间 CA 是可选的,叶证书可以直接由根 CA 签名;反之亦然 - 可以有多个中间体。
当您访问例如facebook.com,它将提供与用于签署它的中间件捆绑在一起的叶证书;您的浏览器验证服务的叶子是否由服务的中间证书签名,然后(因为它已经预安装了所有根证书)它还验证中间由其中一个根 CA 签名,完成信任链验证.
这是一个复杂而脆弱的结构,但它以某种方式起作用并且是我们今天拥有的最好的结构。
我问这个问题是因为我认为当我们尝试访问某些启用 https 的网站(例如 gmail、facebook、我们的网上银行)时,我们不会下载或安装客户端证书。
那我们如何确定从我们的机器发送的信息是正确加密的呢?
谢谢。
None 您列出的示例使用了客户端证书,也许您的网上银行除外。
客户端证书是您作为客户端发送到服务器以验证您自己的证书。这也称为 "two-way TLS" 或 "mutual TLS" 身份验证。
VPN 服务是一个特别常见的例子,它使用双向 TLS。在网络上,它通常只用于服务器到服务器的身份验证,因为它很难设置和维护以供实际人员使用(但一些银行确实提供它作为一个选项)。
你真正想的是,你怎么知道互联网上网站的服务器证书是有效的,而不需要手动导入它们。答案很简单 - 您已经预装了它们……有点。
当然,您实际上并没有网络上每个启用 TLS 的网站的证书(那是不可能的),但是网络浏览器附带一组根 CA 证书,可以验证它们。
它的工作方式叫做 "chain of trust",它是这样的:
- 几乎每个人都信任的根证书颁发机构 (CA) 数量有限。所有 CA 都有一个或多个自签名 "root" 证书,这些证书预装在您的 Web 浏览器中。
- 根 CA 向自己或 "sub-CAs"(例如,经销商,或企业中其他不太受信任的机构)颁发 "intermediate" 证书,方法是使用其根证书对证书进行签名。
- 中间 CA 然后为最终客户(此处的客户指购买证书的实体)签署和颁发个人证书。这些称为 "leaf" 证书。
从技术上讲,中间 CA 是可选的,叶证书可以直接由根 CA 签名;反之亦然 - 可以有多个中间体。
当您访问例如facebook.com,它将提供与用于签署它的中间件捆绑在一起的叶证书;您的浏览器验证服务的叶子是否由服务的中间证书签名,然后(因为它已经预安装了所有根证书)它还验证中间由其中一个根 CA 签名,完成信任链验证.
这是一个复杂而脆弱的结构,但它以某种方式起作用并且是我们今天拥有的最好的结构。