|
認(rèn)證流程 https認(rèn)證流程: https://blog.51cto.com/11883699/2160032
1、服務(wù)器生成一對密鑰,,私鑰自己留著,公鑰交給數(shù)字證書認(rèn)證機(jī)構(gòu)(CA)
2,、CA進(jìn)行審核,并用CA自己的私鑰對服務(wù)器提供的公鑰進(jìn)行簽名生成數(shù)字證書
3,、在https建立連接時(shí),,客戶端從服務(wù)器獲取數(shù)字證書,用CA的公鑰(根證書)對數(shù)字證書進(jìn)行驗(yàn)證,,比對一致,說明該數(shù)字證書確實(shí)是CA頒發(fā)的(得此結(jié)論有一個(gè)前提就是:客戶端的CA公鑰確實(shí)是CA的公鑰,,即該CA的公鑰與CA對服務(wù)器提供的公鑰進(jìn)行簽名的私鑰確實(shí)是一對。),,而CA又作為權(quán)威機(jī)構(gòu)保證該公鑰的確是服務(wù)器端提供的,從而可以確認(rèn)該證書中的公鑰確實(shí)是合法服務(wù)器端提供的,。
注:為保證第3步中提到的前提條件,,CA的公鑰必須要安全地轉(zhuǎn)交給客戶端(CA根證書必須先安裝在客戶端),,因此,CA的公鑰一般來說由瀏覽器開發(fā)商內(nèi)置在瀏覽器的內(nèi)部,。于是,該前提條件在各種信任機(jī)制上,,基本保證成立。
|
