#### 加密通信类型选择
1.单向加密,md5。无法解密,不适合。
2.非对称加密,RSA、DSA。加解密速度慢,不适合。
3.对称加密,DES、3DES、AES。加解密速度快,需要安全送达密钥。
---
#### 网站向CA机构申请CA证书(保证网站公钥的安全送达)
1.网站提交申请人基本信息、域名、摘要算法、公钥等信息。
2.CA机构根据网站提交的摘要算法对证书生成证书摘要,用CA机构使用自己的私钥对证书摘要加密生成签名,把序列号、摘要和签名加到证书中。
3.CA机构生成一张数字证书颁发给网站,网站管理员把证书保存到服务器上。
---
#### 浏览器验证网站的CA证书
1.浏览器根据CA证书在操作系统中找到CA机构的公钥。
2.浏览器用公钥对证书的签名解密得到摘要d1,用证书的摘要算法对证书加密得到摘要d2。
3.对比d1和d2,相等则验证通过,不等则证书涉嫌伪造或调包。
---
#### 协商对称加密密钥
1.浏览器验证证书通过。
2.浏览器生成对称加密类型和密钥S,用证书上网站公钥对密钥S加密得到密文S0,把密文S0发给网站服务器。
3.服务器使用私钥对密文S0解密得到密钥S,此后使用对称密钥S进行通信。
---