共計 2026 個字符，預計需要花費 6 分鐘才能閱讀完成。

這篇“Kubernetes 證書基礎知識有哪些”文章的知識點大部分人都不太理解，所以丸趣 TV 小編給大家總結了以下內容，內容詳細，步驟清晰，具有一定的借鑒價值，希望大家閱讀完這篇文章能有所收獲，下面我們一起來看看這篇“Kubernetes 證書基礎知識有哪些”文章吧。

使用 HTTPS 通信時，需要服務端提供證書，比如使用瀏覽器訪問網站，瀏覽器就會驗證網站的證書以確保網站是安全可靠的。在 Web 應用系統中，客戶端訪問服務端時，服務端也可以要求客戶端提供證書，以確?？蛻舳耸呛戏ǖ摹?/p>

HTTP 為什么不安全

HTTP 協議位于 TCP/IP 四層模型中的應用層，其本身并沒有提供任何數據加密機制。

客戶端和服務端的通信全部是明文的，假如有中間人抓取網絡包就會造成信息泄露，甚至還會篡改數據以及假冒服務器身份達到釣魚的目的，如下圖所示：

HTTPS

HTTPS 協議正是為了解決 HTTP 安全問題而推出的。為了增強數據的保密性，使用 HTTPS 通信時會對數據加密，加密算法可分為對稱加密和非對稱加密兩類。

對稱加密

對稱加密算法中數據加密和解密都使用同一個密碼，這樣即便數據被中間人竊取由于沒有密碼也不能解密。

在一些抗戰影視作品中，常見到使用電臺進行通信，這就是典型的對稱加密場景。作戰指令通過密碼本翻譯成一串適合電臺發送的編碼，接收方根據密碼本將編碼翻譯出原始的作戰指令。這個過程中即便敵方竊取到通過電臺發送的編碼，也無法破解出其中的內容，但是如果密碼本被敵方獲取，那么信息就會被破解。

在網絡中，如果客戶端和服務端也使用對稱加密算法對數據加密，雙方首先需要協商出一個密碼，后續數據都使用該密碼加密和解密，這在一定程度上可以提高數據安全性，但協商密碼的過程仍然為明文，中間人還是可以獲取密碼，從而輕松破解信息。

那么，如何保證密碼協商過程也是安全的呢？那就需要使用非對稱加密算法了。

非對稱加密

非對稱加密算法中需要使用一對密鑰，即公鑰和私鑰。使用公鑰加密的數據需要使用對應的私鑰解密，使用私鑰加密的數據需要使用對應的公鑰解密。

網絡通信時，服務端將公鑰發送給客戶端，客戶端使用公鑰加密數據后發送給服務端，服務端接收數據后使用私鑰解密，在這個過程中，即便中間人竊取了數據，由于沒有服務端的私鑰仍然不能破解，這樣就保證了客戶端發送到服務端的數據是安全的。

考慮到服務端的公鑰是隨網絡發送的，中間人也能拿到服務端的公鑰，所以中間人仍然可以破解服務端發往客戶端的數據，因此服務端在向客戶端發送數據時不能使用私鑰加密，只能使用與客戶端協商的對稱密鑰加密。另外，對稱加密算法在效率上也遠遠高于非對稱加密算法。

客戶端和服務端使用非對稱加密算法保證了協商對稱密鑰的過程是安全的，一旦有了對稱密鑰，后續的通信就可以使用對稱密鑰來加密數據，整個過程如下圖所示：

然而，這種通信過程仍然有個漏洞，中間人有可能截獲服務端的公鑰，然后替換成中間人的公鑰，中間人就可以使用其私鑰破解協商的對稱密鑰，整個過程如下圖所示：

這個漏洞的核心是客戶端不知道收到的服務端的公鑰是真的還是被篡改過的。在現實生活中，我們收到一份文件，可能也不能辨別真假，但是如果它加蓋了政府部門的公章，就比較容易辨別了，因為我們可以到政府部門核對真偽。在使用 HTTPS 協議通信時，證書的作用正是證明公鑰的合法性。

證書

在密碼學領域，證書是一種證明公鑰歸屬的電子文檔，有時也被稱為數字證書。證書包含公鑰信息、公鑰所有者信息以及權威機構的簽名。

權威 CA（Certificate Authority）機構可以頒發證書，服務端申請證書時需要提供自身身份信息及公鑰。對于網站用的證書而言，自身身份信息包括網站域名、公司名稱、城市、省份和國家，公鑰是網站管理員事先生成的。

CA 機構簽發證書過程如下所示：

證書中的數字簽名類似于日常生活中政府的公章，是鑒別證書真偽的關鍵。

CA 機制生成數字簽名時，先使用公開的哈希算法對身份信息和公鑰進行哈希運算得到證書的摘要信息，然后再使用 CA 機制自身的私鑰對摘要信息進行加密，如下圖所示：

之所以說數字簽名是鑒別證書真偽的關鍵，是因為客戶端可以使用 CA 機構的公鑰解密數字簽名得到證書摘要，客戶端還可以從證書中提取身份信息和公鑰，并對其進行哈希運算再得到一份證書摘要，如果兩個證書摘要一致，說明證書內容沒有被篡改過。

如果身份信息和公鑰只要被篡改，證書摘要就會變化，而如果數字簽名被篡改就不能使用 CA 機構的公鑰解密。

綜上，證書是用來證明公鑰真實可信的，這就解決了前面提到的客戶端無法辨別公鑰真偽的問題。

客戶端和服務端協商對稱密鑰時，不再直接給客戶端發送公鑰，而是發送包含公鑰的證書，客戶端先驗證證書的真偽，證書為真時才會從證書中提取公鑰，完整的通信過程如下所示：

以上就是關于“Kubernetes 證書基礎知識有哪些”這篇文章的內容，相信大家都有了一定的了解，希望丸趣 TV 小編分享的內容對大家有幫助，若想了解更多相關的知識內容，請關注丸趣 TV 行業資訊頻道。