1、CA(Certificate Authority)是TLS/SSL过程中的基石
- CA拥有公钥以及私钥
- CA有一个自签发的证书
2、Server(服务器)想要获取一张证书
该服务器部署了网站比如www.freessl.cn或者别的,此时就需要一张证书,这样访客才能够安全地进行访问。
3、Server首先要生成公钥和私钥(就像CA拥有自己的公钥和私钥,服务器也同样需要)
4、Server第二步要做的是生成一份CSR文件(即Certificate Signing Request)
- CSR包含了服务器的公钥
- CSR被服务器的私钥进行了签名
该签名证明了提交CSR申请的人拥有CSR所包含的公钥以及与之相匹配的私钥。关于CSR的详细内容,可移步之前的文章《SSL证书之CSR详解》
5、Server将签过名的CSR提交给CA
6、CA会检查和验证CSR的内容信息
CA要做的是确保这个Server是他自己(即身份),如果Server要为freessl.cn申请一张证书,那么CA就要确保这个Server确实是部署了freessl.cn。
7、CA做过验证后,CA会用CSR里面的信息来生成一张证书
8、CA用自己的私钥来给这张证书签名(这就证明了证书的有效性)
9、CA将证书发给Server
10、Server之后能给任何客户提供证书来表明自己的身份,表示他们可以安全地访问Server
参考文献
1、网站:Practical Networking.net:Practical TLS