https連接建立

加密的三種方式

1.對稱加密：一把密鑰，密鑰加密，密鑰解密
2.非對稱加密：兩把密鑰，一把加密，另一把解密。公開的那個叫公鑰，自己留的叫私鑰
3.hash加密：通過一種算法，把大量信息壓縮映射成唯一的短字符，且通過這段字符不能反解出該大量信息

三個角色

未建立前分別都有什么信息

1.client：CA機構(gòu)的公鑰A，內(nèi)置在系統(tǒng)中
2.server: 從CA機構(gòu)申請的證書，和該證書對應得私鑰B
3.CA機構(gòu)：產(chǎn)生證書

CA證書有什么信息

1.文件包（公鑰B，hash算法，用途，頒發(fā)者，有效時間等）
2.把文件包進行hash加密，得到短字符，然后CA機構(gòu)用私鑰A進行加密得到的——數(shù)字簽名/指紋

驗證流程

使用了兩次非對稱加密解密

1.1、CA機構(gòu)使用它的私鑰A對CA證書的文件包hash短字符進行加密的簽名
1.2、client使用寫入到系統(tǒng)的公鑰A對簽名解密，得到短字符
2.1、client用從server端請求得來的公鑰D對自己生成的字符串進行加密，發(fā)送給server
2.2、server用其私鑰B對加密字符串解密，獲取字符串

client驗證CA證書合法性:排除中間人攻擊

1.利用公鑰A對證書里的簽名解密，得短字符
2.利用hash算法對證書里的文件包進行加密，獲取短字符

兩者比較，不同就是文件包被篡改了，或者簽名不是CA機構(gòu)私鑰A加密過的。

總結(jié)

以上是生活随笔為你收集整理的CA证书合法性验证的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。