網上的文章很多, 但是對摘要的驗證流程不夠通俗易懂。
證書預置和申請
1:客戶端瀏覽器會預置根證書, 裏面包含CA公鑰
2:服務器去CA申請一個證書
3: CA用自己的簽名去籤一個證書,指紋信息保存在證書的數字摘要裏面, 然後發送給服務器
一次訪問流程(簡化)
1: 客戶端 sayHello
2: 服務器返回證書
3-1: 客戶端驗證證書內容有效性(過期時間, 域名是否相同等)
3-2: 驗證證書的有效性 (是否被串改), 通過本地根證書的CA公鑰解密數字摘要,看是否匹配。
3-3:如果數字簽名驗證通過, 就可以使用服務器證書裏面提供的公鑰進行下一步通信。