HTTPS证书原理

使用内网时，发现对于http协议的网站正常访问，但https网站访问异常，这种情况需要安装内部https证书并关掉该wifi的手动代理

因为正式环境HTTPS证书泄露可能导致严重的安全问题，因此需要收拢正式环境HTTPS证书权限。开发和测试环境使用自签名证书。

回顾HTTP和HTTPS

两者都使用TCP协议，都用于在Web浏览器和网站服务器之间传递信息。
区别：

• HTTP默认使用TCP协议80端口，HTTPS默认使用443端口。
• HTTPS也是经由HTTP来进行通信，只是多了加密数据包的流程(SST/TLS),也可以理解为HTTPS=HTTP+SSL。HTTPS出现的原因就是在于对网站服务器的身份进行认证，保护交换数据的隐私及完整性，将HTTP中的明文传输转为密文传输。
• 使用HTTPS协议需要用的CA【数字证书认证机构】
• HTTP 页面响应速度比 HTTPS 快，主要是因为 HTTP 使用 TCP 三次握手建立连接，客户端和服务器需要交换 3 个包，而 HTTPS除了 TCP 的三个包，还要加上 ssl 握手需要的 9 个包，所以一共是 12 个包。

理解名词：

报文摘要：将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证：只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
数字签名：数字签名：将报文摘要值用发送者的私人秘钥加密后得到的密文即为数字签名。
数字证书：原报文和数字签名放在一起就是数字证书
数字签名和数字证书

证书的作用：服务端发送给客户端，客户端从中获取原报文以及公钥，根据公钥配合服务器的私钥使用非对称加密传输数据，保证信道安全。

CA证书有个自上到下的信任链，下级 CA 信任上级 CA ，下级 CA 由上级 CA 颁发证书并认证，如图：

CA公钥就是从上级证书中取出的

证书包含了版本号、序列号、签名算法、颁发者、有效期、主体、主体公钥、主体公钥算法、签名值等信息，其中，除签名外其他都是以明文形式提供，包括主体公钥，这点很重要，即我们是直接从证书中取出服务端公钥的。

证书的生成和验证

生成：

• 服务端会先生成一对公私钥，用于非对称加密算法，然后将公钥和自身的一些信息交给CA机构
• CA机构收到信息也就是data后，使用特定的哈希算法得到摘要值HASH
• 随后CA用自己的私钥将摘要值HASH加密后得到数字签名Signature
• 最后将Signature和data一起生成一张证书

验证：

• 客户端在拿到证书后，首先将data用指定的哈希算法生成一段摘要Hash1
• 然后再取出数字签名Signature，用CA机构的公钥使用指定的算法解密得到摘要值Hash2
• 最后对比Hash1和Hash2是否相等，如果相等则验证成功，取出服务端公钥后继续HTTPS的建立，否则验证失败，HTTPS建立中断
  这里不等的原因可能在于data在传输过程中被篡改、CA中公钥被篡改