0

比如电网公司有个数字证书系统,可以签发数字证书到特殊的U盘中,操作人员就可以插入这个U盘去别的设备上操作,没插就不能操作,这个部署数字证书系统的电脑是不联网的,系统也是不联网的,这个U盘里有公私钥,为啥就可以在别的普通的电脑上操作?很纳闷啊

剑心666 357
2019-06-14 提问
1 个回答
1

已采纳

两种吧,一种是双向认证,一种是单向认证
1、单向认证,比如常用的HTTPS就是单向认证,只需要信任服务器即可,这种证书一般在服务器,浏览器保存有CA服务器信息,你请求时候,服务器把证书给浏览器,浏览器拿着证书问CA服务器是否可信。CA服务器就是大机构维护的公共的证书签发机构,所以要做HTTPS时候就需要花钱买证书。
2、双向认证的话,就类似银行常见的U盾,首先先信任服务器,和上面步骤一样,然后服务器也要信任浏览器端,这时候浏览器需要把你U盾的证书发给服务器,服务器拿着证书去自己的证书签发服务器问是否可信。如果两个都通过,就说明双向认证都通过了,机构内部自己的证书签发服务器是不需要对外的,而且自签发,不需要花钱。
单向验证的时候,CA就必须是联外网的,双向认证的时候,机构自己的证书签发服务器是可以不联外网的,只要内部网络通就可以。

撰写答案

推广链接