密钥生成:
首先,实体(例如服务器、个人或组织)需要生成一对密钥:公钥和私钥。
公钥是用于加密和验证的,可以被公开分享。
私钥用于解密和签名,必须保密,只有持有者知道。
证书请求(CSR - Certificate Signing Request):
实体生成一个证书请求,其中包含公钥、实体信息(如名称、电子邮件等)和签名。
CSR是一个包含有关实体信息的文本块,可以被发送到数字证书颁发机构(CA)以获取数字证书。
证书颁发:
实体将证书请求发送给数字证书颁发机构(CA)。
CA会验证请求者的身份,然后使用自己的私钥对请求中的信息进行签名,生成数字证书。
数字证书包括公钥、实体信息、CA的信息和签名等内容。
证书验证:
当实体收到数字证书时,它可以使用CA的公钥验证证书的签名,确保证书未被篡改且由合法的CA签发。
接收者可以检查证书中的实体信息以及CA的信息,确保证书的合法性。
数字证书使用:
接收者可以使用数字证书中的公钥来加密数据,然后发送给证书的持有者。
持有者使用私钥解密数据,保护数据的机密性。
持有者还可以使用私钥生成数字签名,接收者使用公钥验证签名,验证数据的来源和完整性。