理解有錯誤的地方,請高手指正!
1,CA中心,有一套自己的公鑰和私鑰,CA用自己的私鑰去生成一個自認證的證書
2,CA中心的自認證證書是有公信力的,一般被客戶端所熟知,發放到每個客戶端!
3,客戶端需要將CA中的自認證證書加入信任列表!4,服務器要加入CA體系,要向CA中心申請,CA中心驗證了服務器的資料後,向服務器發放一個證書(key),裏面包含了一個祕鑰
5,CA發給服務器的簽名證書是用CA自己的祕鑰和申請者(服務器)的祕鑰(key)加密過的,
6,證書裏面包含:申請者的身份信息、申請者公鑰,CA祕鑰加密過的一些信息!
7,因爲沒有CA的祕鑰,任何人,不能篡改此證書,(篡改後,解開是一團亂碼)
8,任何人,用CA的自認證證書可以讀取證書裏面的身份信息
9,證書的普遍可讀性和證書的不能更改性就由此體現
>>>問題1:既然不能篡改,爲了僞造服務器,我可以複印一個服務器的簽名證書,僞裝成服務器!
客戶端看到你的的證書,好,我就用你給我的證書,加密信息,把加密的信息傳給你!你必須拿跟證書裏面的公鑰相匹配的祕鑰才能解密,否則你看到的就是亂碼!
你沒有,所以你複印了也沒用!
10,客戶端只要信賴CA,就可以放心的和服務器進行交互了!
11,服務器需要驗證客戶端嗎?這個是可選的,驗證方法跟服務驗證是類似的!
12,這裏面的關係其實就是使用非對稱加密技術:
CA中心生成自簽名證書,裏面暗含了CA中心的祕鑰算法!
CA中心將服務器的簽名證書加密,服務器拿到了使用這個簽名證書祕鑰和證書!同樣CA發給服務器的簽名證書也暗含了CA的祕鑰算法!
CA發送給服務器的簽名證書包含了服務器的一些信息,這些信息可以證明:我就是這個證書裏面說明的服務器!
服務器器是無法修改證書信息的,因爲客戶端是用CA的自簽名證書去解讀服務器證書信息的,自簽名證書暗含了CA的祕鑰算法,服務器證書也暗含了CA的祕鑰算法;
如果服務器更改了證書,那麼客戶端就無法使用CA的自簽名證去讀取服務器證書的信息內容了,客戶端自然就無法信任此服務器,那麼更改證書也就沒有意義了!
由於除了CA之外,任何人無法修改服務器簽名證書內容,因此,對於信任CA的權威性的客戶端二樣,簽名證書同樣具有權威性!
