Kubernetes證書(shū)基礎(chǔ)知識(shí)有哪些

這篇“Kubernetes證書(shū)基礎(chǔ)知識(shí)有哪些”文章的知識(shí)點(diǎn)大部分人都不太理解，所以小編給大家總結(jié)了以下內(nèi)容，內(nèi)容詳細(xì)，步驟清晰，具有一定的借鑒價(jià)值，希望大家閱讀完這篇文章能有所收獲，下面我們一起來(lái)看看這篇“Kubernetes證書(shū)基礎(chǔ)知識(shí)有哪些”文章吧。

使用HTTPS通信時(shí)，需要服務(wù)端提供證書(shū)，比如使用瀏覽器訪問(wèn)網(wǎng)站，瀏覽器就會(huì)驗(yàn)證網(wǎng)站的證書(shū)以確保網(wǎng)站是安全可靠的。在Web應(yīng)用系統(tǒng)中，客戶(hù)端訪問(wèn)服務(wù)端時(shí)，服務(wù)端也可以要求客戶(hù)端提供證書(shū)，以確?？蛻?hù)端是合法的。

HTTP為什么不安全

HTTP協(xié)議位于TCP/IP四層模型中的應(yīng)用層，其本身并沒(méi)有提供任何數(shù)據(jù)加密機(jī)制。

客戶(hù)端和服務(wù)端的通信全部是明文的，假如有中間人抓取網(wǎng)絡(luò)包就會(huì)造成信息泄露，甚至還會(huì)篡改數(shù)據(jù)以及假冒服務(wù)器身份達(dá)到釣魚(yú)的目的，如下圖所示：

HTTPS

HTTPS協(xié)議正是為了解決HTTP安全問(wèn)題而推出的。為了增強(qiáng)數(shù)據(jù)的保密性，使用HTTPS通信時(shí)會(huì)對(duì)數(shù)據(jù)加密，加密算法可分為對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密兩類(lèi)。

對(duì)稱(chēng)加密

對(duì)稱(chēng)加密算法中數(shù)據(jù)加密和解密都使用同一個(gè)密碼，這樣即便數(shù)據(jù)被中間人竊取由于沒(méi)有密碼也不能解密。

在一些抗戰(zhàn)影視作品中，常見(jiàn)到使用電臺(tái)進(jìn)行通信，這就是典型的對(duì)稱(chēng)加密場(chǎng)景。作戰(zhàn)指令通過(guò)密碼本翻譯成一串適合電臺(tái)發(fā)送的編碼，接收方根據(jù)密碼本將編碼翻譯出原始的作戰(zhàn)指令。這個(gè)過(guò)程中即便敵方竊取到通過(guò)電臺(tái)發(fā)送的編碼，也無(wú)法破解出其中的內(nèi)容，但是如果密碼本被敵方獲取，那么信息就會(huì)被破解。

在網(wǎng)絡(luò)中，如果客戶(hù)端和服務(wù)端也使用對(duì)稱(chēng)加密算法對(duì)數(shù)據(jù)加密，雙方首先需要協(xié)商出一個(gè)密碼，后續(xù)數(shù)據(jù)都使用該密碼加密和解密，這在一定程度上可以提高數(shù)據(jù)安全性，但協(xié)商密碼的過(guò)程仍然為明文，中間人還是可以獲取密碼，從而輕松破解信息。

那么，如何保證密碼協(xié)商過(guò)程也是安全的呢？那就需要使用非對(duì)稱(chēng)加密算法了。

非對(duì)稱(chēng)加密

非對(duì)稱(chēng)加密算法中需要使用一對(duì)密鑰，即公鑰和私鑰。使用公鑰加密的數(shù)據(jù)需要使用對(duì)應(yīng)的私鑰解密，使用私鑰加密的數(shù)據(jù)需要使用對(duì)應(yīng)的公鑰解密。

網(wǎng)絡(luò)通信時(shí)，服務(wù)端將公鑰發(fā)送給客戶(hù)端，客戶(hù)端使用公鑰加密數(shù)據(jù)后發(fā)送給服務(wù)端，服務(wù)端接收數(shù)據(jù)后使用私鑰解密，在這個(gè)過(guò)程中，即便中間人竊取了數(shù)據(jù)，由于沒(méi)有服務(wù)端的私鑰仍然不能破解，這樣就保證了客戶(hù)端發(fā)送到服務(wù)端的數(shù)據(jù)是安全的。

考慮到服務(wù)端的公鑰是隨網(wǎng)絡(luò)發(fā)送的，中間人也能拿到服務(wù)端的公鑰，所以中間人仍然可以破解服務(wù)端發(fā)往客戶(hù)端的數(shù)據(jù)，因此服務(wù)端在向客戶(hù)端發(fā)送數(shù)據(jù)時(shí)不能使用私鑰加密，只能使用與客戶(hù)端協(xié)商的對(duì)稱(chēng)密鑰加密。另外，對(duì)稱(chēng)加密算法在效率上也遠(yuǎn)遠(yuǎn)高于非對(duì)稱(chēng)加密算法。

客戶(hù)端和服務(wù)端使用非對(duì)稱(chēng)加密算法保證了協(xié)商對(duì)稱(chēng)密鑰的過(guò)程是安全的，一旦有了對(duì)稱(chēng)密鑰，后續(xù)的通信就可以使用對(duì)稱(chēng)密鑰來(lái)加密數(shù)據(jù)，整個(gè)過(guò)程如下圖所示：

然而，這種通信過(guò)程仍然有個(gè)漏洞，中間人有可能截獲服務(wù)端的公鑰，然后替換成中間人的公鑰，中間人就可以使用其私鑰破解協(xié)商的對(duì)稱(chēng)密鑰，整個(gè)過(guò)程如下圖所示：

這個(gè)漏洞的核心是客戶(hù)端不知道收到的服務(wù)端的公鑰是真的還是被篡改過(guò)的。在現(xiàn)實(shí)生活中，我們收到一份文件，可能也不能辨別真假，但是如果它加蓋了政府部門(mén)的公章，就比較容易辨別了，因?yàn)槲覀兛梢缘秸块T(mén)核對(duì)真?zhèn)?。在使用HTTPS協(xié)議通信時(shí)，證書(shū)的作用正是證明公鑰的合法性。

證書(shū)

在密碼學(xué)領(lǐng)域，證書(shū)是一種證明公鑰歸屬的電子文檔，有時(shí)也被稱(chēng)為數(shù)字證書(shū)。 證書(shū)包含公鑰信息、公鑰所有者信息以及權(quán)威機(jī)構(gòu)的簽名。

權(quán)威CA（ Certificate Authority）機(jī)構(gòu)可以頒發(fā)證書(shū)，服務(wù)端申請(qǐng)證書(shū)時(shí)需要提供自身身份信息及公鑰。 對(duì)于網(wǎng)站用的證書(shū)而言，自身身份信息包括網(wǎng)站域名、公司名稱(chēng)、城市、省份和國(guó)家，公鑰是網(wǎng)站管理員事先生成的。

CA機(jī)構(gòu)簽發(fā)證書(shū)過(guò)程如下所示：

證書(shū)中的數(shù)字簽名類(lèi)似于日常生活中政府的公章，是鑒別證書(shū)真?zhèn)蔚年P(guān)鍵。

CA機(jī)制生成數(shù)字簽名時(shí)，先使用公開(kāi)的哈希算法對(duì)身份信息和公鑰進(jìn)行哈希運(yùn)算得到證書(shū)的摘要信息，然后再使用CA機(jī)制自身的私鑰對(duì)摘要信息進(jìn)行加密，如下圖所示：

之所以說(shuō)數(shù)字簽名是鑒別證書(shū)真?zhèn)蔚年P(guān)鍵，是因?yàn)榭蛻?hù)端可以使用CA機(jī)構(gòu)的公鑰解密數(shù)字簽名得到證書(shū)摘要，客戶(hù)端還可以從證書(shū)中提取身份信息和公鑰，并對(duì)其進(jìn)行哈希運(yùn)算再得到一份證書(shū)摘要，如果兩個(gè)證書(shū)摘要一致，說(shuō)明證書(shū)內(nèi)容沒(méi)有被篡改過(guò)。

如果身份信息和公鑰只要被篡改，證書(shū)摘要就會(huì)變化，而如果數(shù)字簽名被篡改就不能使用CA機(jī)構(gòu)的公鑰解密。

綜上，證書(shū)是用來(lái)證明公鑰真實(shí)可信的，這就解決了前面提到的客戶(hù)端無(wú)法辨別公鑰真?zhèn)蔚膯?wèn)題。

客戶(hù)端和服務(wù)端協(xié)商對(duì)稱(chēng)密鑰時(shí)，不再直接給客戶(hù)端發(fā)送公鑰，而是發(fā)送包含公鑰的證書(shū)，客戶(hù)端先驗(yàn)證證書(shū)的真?zhèn)危C書(shū)為真時(shí)才會(huì)從證書(shū)中提取公鑰，完整的通信過(guò)程如下所示：

以上就是關(guān)于“Kubernetes證書(shū)基礎(chǔ)知識(shí)有哪些”這篇文章的內(nèi)容，相信大家都有了一定的了解，希望小編分享的內(nèi)容對(duì)大家有幫助，若想了解更多相關(guān)的知識(shí)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道。