验证SSL证书究竟如何?

时间:2015-04-07 21:32:44

标签: ssl ssl-certificate verification private-key root-certificate

我已经对此进行了一些研究,但在验证签名和根证书方面服务器将证书发送到客户端时,确实发生了什么,仍然存在一些问题。

  • 创建CSR时,它会随之生成一个私钥,然后将其发送给CA以生成证书并对其进行签名,但CA并不使用它。自己的私钥签名?那么您使用CSR生成的私钥有什么意义呢?

  • 当服务器发送其证书以供客户端验证时,客户端如何确认它是有效的CA证书。它有一组可信的CA证书,确定 - 但它们究竟是如何用来验证它是否是使用服务器证书的签名和公钥签署服务器证书的有效CA?比较什么东西以确保它不是伪造的?

  • 加密内部自签名证书有什么意义吗?内部根证书怎么样?或私钥是否唯一值得加密?

  • 例如,如果我们不为我们的Web服务(通过SSL)保留加密数据的数据库,那么在生成自签名证书后,我们是否会关心存储自己的私钥?我们这样做,他们为什么?

1 个答案:

答案 0 :(得分:3)

  

创建CSR时,它会随之生成私钥

或者您已经生成了自己的私钥。

  

然后将其发送给CA以生成证书并对其进行签名

您发送CSR。您不发送私钥。这是私人的。你不会把它发给任何人。

  

但CA是否使用自己的私钥进行签名?

  

那么您使用CSR生成的私钥有什么意义?

它与证书中包含的公钥配对,它是用于证明您并且只有您拥有该证书的过程的一部分,因为只有您可以使用可以由公众验证的私钥生成数字签名。密钥证书。

  

当服务器发送其证书以供客户端验证时,客户端如何确认它是有效的CA证书。它有一组可信的CA证书,确定 - 但它们究竟用于验证它是否是使用服务器证书的签名和公钥签署服务器证书的有效CA?比较什么东西以确保它不是伪造的?

证书本身通过验证其数字签名进行验证;检查是否在其有效期内;然后尝试使用证书的所谓签名者('发行人')和集合中的可信证书形成证书链。

  

加密内部自签名证书有什么意义吗?

没有。它们是公开文件。只有私钥是私有的,而且不在证书中。

  

内部根证书怎么样?

没有

  

或私钥是唯一值得加密的私钥吗?

  

例如,如果我们没有为我们的Web服务(通过SSL)保留加密数据的数据库,那么在生成自签名证书后,我们是否会关心存储我们自己的私钥,如果我们这样做,那么为什么?

因为它是私人的。这是您身份的重要组成部分。如果你泄露它,其他人可以冒充你。