要理解SSL认证的原理,首先需要了解CA。 它在SSL认证过程中起着非常重要的作用。
说白了,CA是为互联网服务器颁发证书的组织。 国际知名的CA机构有VeriSign、Symantec,国内的有全球。
每个CA都有自己的根证书,用于验证颁发的服务器端证书。
如果服务器提供bmdmg并向其服务器申请证书,则必须向CA机构申请证书。
服务提供者向CA提供自己的身份信息,CA在查明申请人的身份后分配公钥
然后,CA将该公钥与服务器的身份联系起来,并对其签名,这形成服务器端的证书。
如果一个用户想认证另一个证书的真伪,他会用CA的公钥验证该证书的签名,如果验证成功,该证书将被视为有效。
证书实际上是证书签证机关(CA )颁发的用户公钥的认证。
证书的内容包括电子签证机构的信息、公钥用户信息、公钥、权威机构的签字和有效期等。
目前证书的格式和验证方法一般符合X.509国际标准。
申请证书过程
首先需要CA根证书,然后使用CA根证书颁发用户证书。
用户申请证书:
1 .老师是秘密钥匙
2 .使用私钥生成证书请求(证书请求必须包括公钥信息)。
3 .利用证书服务器的CA根证书颁发证书
这样最终得到了由CA根证书发行的证书,但实际上证书中只有公钥,密钥在用户手中。
SSL工作流程(单向)
1 .客户端say hello服务端
2 .服务端将证书、公钥等发送给客户端
3 .客户端CA验证证书,选择页面弹出成功还是失败
4 .客户端通知服务端支持的加密算法
5 .服务端选择最高级别的加密算法并明文通知客户端
6 .客户端生成随机对称密钥key,用服务端公钥加密后发送到服务端
7 .服务端用私钥解密,获取对称密钥key
8 .后续客户端和服务端使用该密钥key进行加密通信
SSL工作流程(双向)
单向认证只是客户端需要验证服务器端证书是否正确,而服务器端不验证客户端证书是否正确。 双向验证是客户端验证服务器端证书,服务器必须使用CA公钥证书验证客户端证书。
双向验证的过程:
1 .客户端say hello服务端
2 .服务端将证书、公钥等发送给客户端
3 .客户端CA验证证书,选择页面弹出成功还是失败
4 .客户端将自己的证书和公钥发送到服务端
5 .服务端验证客户端证书,不直接断开连接时
6 .客户端通告服务端支持的加密算法
7 .服务端选择最高级别的加密算法,用客户端公钥加密后发送到客户端
8 .客户端接收后,用私钥解密,生成随机对称密钥key,用服务端公钥加密后发送到服务端
9 .服务端用私钥解密,获取对称密钥key
10 .后续客户端和服务端使用该密钥key进行加密通信
转载于:https://www.cn blogs.com/YY xianren/p/10839427.html