CA证书合法性验证

https连接建立

加密的三种方式

1.对称加密：一把密钥，密钥加密，密钥解密
2.非对称加密：两把密钥，一把加密，另一把解密。公开的那个叫公钥，自己留的叫私钥
3.hash加密：通过一种算法，把大量信息压缩映射成唯一的短字符，且通过这段字符不能反解出该大量信息

三个角色

未建立前分别都有什么信息

1.client：CA机构的公钥A，内置在系统中
2.server: 从CA机构申请的证书，和该证书对应得私钥B
3.CA机构：产生证书

CA证书有什么信息

1.文件包（公钥B，hash算法，用途，颁发者，有效时间等）
2.把文件包进行hash加密，得到短字符，然后CA机构用私钥A进行加密得到的——数字签名/指纹

验证流程

使用了两次非对称加密解密

1.1、CA机构使用它的私钥A对CA证书的文件包hash短字符进行加密的签名
1.2、client使用写入到系统的公钥A对签名解密，得到短字符
2.1、client用从server端请求得来的公钥D对自己生成的字符串进行加密，发送给server
2.2、server用其私钥B对加密字符串解密，获取字符串

client验证CA证书合法性:排除中间人攻击

1.利用公钥A对证书里的签名解密，得短字符
2.利用hash算法对证书里的文件包进行加密，获取短字符

两者比较，不同就是文件包被篡改了，或者签名不是CA机构私钥A加密过的。