证书申请流程
1.概述
CA(证书颁布机构):公安局
证书:身份证
PKI(公钥基础设施):中国人民政府为了颁发身份证所出台的软硬件的东西,比如(政策、规定、办理材料、身份证形式、有效期等等)
而对于数字证书来说,也就是身份证,仅仅只解决了”这个公钥“的持有者是谁
2.交换
在交换过程中,首先会验证证书的合法性,即是否在有效期,是否是CA机构颁布等等
1.CA机构会给每个注册进来的用户颁布自己的公钥
2.CA会用自己的私钥为每个用户的公钥以及ID等信息进行加密,生成数字签名,并内置于“数字证书”
通过证书的交换,是一个安全的公钥交换过程,得到对方的公钥。
3.解析获取证书中用户公钥
前提:每个用户都会拥有CA的公钥,用于解密数字签名
如上过程用CA公钥解析数字签名
校验通过后,用户就会获取证书中的ID用户以及对应的用户公钥信息
用户B获取到用户A的数字证书后,首先通过CA的公钥对数字签名进行解密,获取到的hash值与证书明文的hash进行对比,进而判断证书的合法性、有效性。验证通过后就可以获取到了用户A的公钥。
有人就会认为,把证书交给对方,这样会不安全,其实我们要保护的是个人的私钥,而证书上放仅仅是展示对应ID的公钥。但是这样说了,其他的人就会反驳说道,那你把证书比喻成身份证就不合理,其实不然,即使别人拿到我的身份证,但是也无法扮演我这个角色,为什么呢,其实就是别人的脸和我身份证上的信息不匹配,无法使用。所以说,私钥就是人的脸,而证书上的信息就是身份证的头像号码等数据。