CA认证跳蛋:
1、生成根私钥
2、根证书的生成过程(根证书会集成到浏览器的证书列表中)
CA的私钥对CA的公钥、CA的元数据、根证书的有效期进行sha256后加密(数字签名)
CA的公钥、CA的元数据 、根证书的有效期 + 数字签名 ⇒ 根证书
第三方公司
3、创建CSR
生成公司自己的私钥和证书签名请求(CSR)
CSR中包含公司的公钥、公司的元数据信息
CA认证中心
4、CA认证中心确认CSR中的元数据的有效性,创建签发证书(公司把自己的私钥和签发证书配置到nginx中)
CA使用CA的私钥对sha256后的CSR加密,生成数字签名,把签名放到正文下方(签发证书,签发证书包含根证书的证书链)
第三方公司
5、把签发证书及自己的私钥key配置到nginx中
浏览器中默认保存常用CA的根证书
浏览器访问应用服务器,建立链接,应用服务器返回签发证书,浏览器通过签发证书中的证书链找到CA根证书
根证书公钥对签发证书中的签名解密,同时对比 sha256证书内容 是否相同,相同说明签发证书是可靠的
通过签发证书中的公钥,对数据加密,发给应用服务器
应用服务器(nginx)通过配置的私钥解密 ,获取元数据