PKI问题
我正在尝试了解公钥基础结构(PKI)。我从一本书中读到了以下两个用户如何参与PKI的例子。我不理解的唯一部分是步骤#10“当Diane收到John的证书时,她的浏览器会查看它是否信任对该证书进行数字签名的CA.Diane的浏览器信任此CA,并且在她验证证书后,John和Diane可以使用加密进行通信。“什么是Diane的浏览器如何看待它是否信任CA的真实世界示例?我认为Diane只会通过她的浏览器访问Web服务器,而不是像John这样的最终用户。
书中的PKI示例
现在已经了解了PKI的基本原理,让我们来看一个例子。假设约翰需要为自己获得数字证书,以便他可以参加PKI。以下是执行此操作的步骤:
- John向RA提出请求。
- RA要求John提供某些身份信息,例如驾驶执照的副本,电话号码,地址和其他识别信息。
- RA收到John提供的所需信息并进行验证后,RA会将其证书请求发送给CA.
- CA创建一个证书,其中嵌入了John的公钥和身份信息。 (私钥/公钥对由CA或John的机器生成,这取决于系统的配置。如果在CA创建,则需要通过安全方式将其私钥发送给他。在大多数情况下,用户生成该对并在注册过程中发送他的公钥。
- 现在John已注册并可以参加PKI。
- John和Diane决定他们想要沟通,所以他们采取以下步骤。
- John从公共目录中请求Diane的公钥。
- 目录(有时称为存储库)发送Diane的数字证书。
- John验证数字证书并提取其公钥。 John使用此公钥来加密将用于加密其消息的会话密钥。 John将加密的会话密钥发送给Diane。 John还将他的公钥发送给Diane。
- 当Diane收到John的证书时,她的浏览器会查看它是否信任对该证书进行数字签名的CA. Diane的浏览器信任此CA,在验证证书后,John和Diane都可以使用加密进行通信。