我试图了解数字证书的两个主要用途(例如SSL证书),它们是 signing 和 verification (我相信) .
对于客户端和Web服务器之间的SSL,我对证书验证的理解是浏览器使用HTTPS在URL上联系服务器 . 然后,服务器向浏览器显示其SSL证书 . 然后,浏览器必须 verify SSL证书有效,并且它与URL中的域属于同一域 .
同样,对于客户端和Web服务器之间的SSL,我对证书签名的理解是客户端(浏览器)首先验证服务器's SSL cert is valid, and if it is, the browser places the cert in its own trust store (some local, embedded DB). Subsequent request to this domain will first check to see if the server'的SSL证书是否在客户端的信任库中,如果是,则验证不再需要 .
我在这里或多或少是正确的,还是我离开基地?
1 回答
你对验证非常正确 . 我想补充说,浏览器还尝试针对CA(证书颁发机构)验证证书,但用户可以放弃 .
这里精美解释How are ssl certificates verified?
签名是另一回事 . 当申请人(例如Web服务器)希望CA为其签署证书时,它会创建密钥对,私钥和公钥,然后准备CSR(证书签名请求),其中包含先前创建的公钥 . . 然后,CA然后创建签名证书(使用其自己的私钥),任何知道此CA的公钥的实体都可以验证该证书 . Web浏览器具有预安装的最常见CA的列表 .