https连接建立
加密的三种方式
1.对称加密:一把密钥,密钥加密,密钥解密
2.非对称加密:两把密钥,一把加密,另一把解密。公开的那个叫公钥,自己留的叫私钥
3.hash加密:通过一种算法,把大量信息压缩映射成唯一的短字符,且通过这段字符不能反解出该大量信息
三个角色
未建立前分别都有什么信息
1.client:CA机构的公钥A,内置在系统中
2.server: 从CA机构申请的证书,和该证书对应得私钥B
3.CA机构:产生证书
CA证书有什么信息
1.文件包(公钥B,hash算法,用途,颁发者,有效时间等)
2.把文件包进行hash加密,得到短字符,然后CA机构用私钥A进行加密得到的——数字签名/指纹
验证流程
使用了两次非对称加密解密
1.1、CA机构使用它的私钥A对CA证书的文件包hash短字符进行加密的签名
1.2、client使用写入到系统的公钥A对签名解密,得到短字符
2.1、client用从server端请求得来的公钥D对自己生成的字符串进行加密,发送给server
2.2、server用其私钥B对加密字符串解密,获取字符串
client验证CA证书合法性:排除中间人攻击
1.利用公钥A对证书里的签名解密,得短字符
2.利用hash算法对证书里的文件包进行加密,获取短字符
两者比较,不同就是文件包被篡改了,或者签名不是CA机构私钥A加密过的。