https://blog.csdn.net/qq_22771739/article/details/86479411?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161579006716780357275173%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=161579006716780357275173&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allfirst_rank_v2~rank_v29-1-86479411.first_rank_v2_pc_rank_v29&utm_term=%E6%9F%A5%E7%9C%8B%E6%B5%8F%E8%A7%88%E5%99%A8%E7%9A%84CA%E8%AF%81%E4%B9%A6
-
服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证;
-
CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等;
-
如信息审核通过,CA 会向申请者签发认证文件-证书。
证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名;
签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA 的私钥对信息摘要进行加密,密文即签名;
-
客户端 C 向服务器 S 发出请求时,S 返回证书文件;
-
客户端 C 读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA 的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法;
-
客户端然后验证证书相关的域名信息、有效时间等信息;
-
客户端会内置信任 CA 的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA 的证书,证书也会被判定非法。
在这个过程注意几点:
申请证书不需要提供私钥,确保私钥永远只能服务器掌握;
证书的合法性仍然依赖于非对称加密算法,证书主要是增加了服务器信息以及签名;
内置 CA 对应的证书称为根证书,颁发者和使用者相同,自己为自己签名,即自签名证书;
证书=公钥+申请者与颁发者信息+签名;
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
