您好!
本圖描述了正常網站證書操作流程的圖表:
CA機構向瀏覽器開發商頒發CA的根證書(在圖表中白色的證書圖形),開發商將CA機構的根證書放置於瀏覽器的壹個證書信任列表裏面。當用戶下載該瀏覽器到自己的電腦裏面,此時用戶的瀏覽器會信任證書信任列表裏面的任意CA證書簽署的證書。
當壹間公司希望它的網站可以通過HTTPS通信的時候,公司在CA機構購買壹個網站證書(在圖表中綠色的證書圖形),由該CA機構簽發的網站證書可以向用戶確保網站的安全。
當用戶需要瀏覽這壹個安全網站的時候,瀏覽器首先向服務器請求證書,檢查該證書的根證書是否在瀏覽器的證書信任列表裏面並驗證證書的簽名是否正確,當檢查無誤的時候瀏覽器繼續跟服務器建立HTTPS連接。
總結:上圖主要是幫助理清客戶端,網站,CA機構,瀏覽器之間的關系,以及他們之間的交互流程。
壹次https建立連接的過程,即安全校驗方面的,主要有兩個目的:
驗證所訪問網站的合法性,杜絕釣魚網站、黑網站
加密自己和該網站的傳輸數據,以防泄密、篡改、中間人問題
該過程具體描述如下:
1、瀏覽器將自己支持的壹套加密規則發送給網站。?
2、網站從中選出壹組加密算法與HASH算法,並將自己的身份信息以證書的形式發回給瀏覽器。證書裏面包含了網站地址,加密公鑰,以及證書的頒發機構,以客戶端公鑰C_PuKey加密後通知到瀏覽器;
3、客戶端通過私鑰C_PrKey解密後,獲得網站證書要做以下工作:
驗證證書的合法性(證書本身是否偽造?頒發證書的機構是否合法?證書中包含的網站地址是否與正在訪問的地址壹致?)證書受信任,或者是用戶接受了不受信的證書。否則拒絕訪問,如果是,
4、從剛才回傳的信息中獲得服務器選擇的加密方案,並隨機選擇壹個通話密鑰key,接著用服務器公鑰S_PuKey加密後發送給服務器;
5、服務器接收到的瀏覽器傳送到消息,用私鑰S_PrKey解密,獲得通話密鑰key,?接下來的數據傳輸都使用該對稱密鑰key進行加密。?
詳情:申請CA機構SSL證書參考流程圖:網頁鏈接