服务证书用作密钥工件,以在客户端和服务器之间建立安全通道。
- 当客户端开始与服务器通信时,它首先验证证书是否可信(它必须安装在客户端认证存储中,或者必须由客户端信任的权限颁发)。此验证应确保客户端与其信任的正确服务器进行通信。
我对使用服务证书保护邮件的理解是:
- 客户端创建派生密钥,用于加密和签署具有对称安全性的请求消息。服务将需要相同的密钥来解密消息并验证签名,以便客户端必须在消息中传递密钥。密钥是使用证书中传递的服务公钥加密的,因为只有私钥(服务器)的持有者才能解密此派生密钥,然后解密请求消息本身。
- 该服务使用解密的派生密钥对响应消息进行加密和签名,并将其传递回客户端。客户端会记住用于发送请求的派生密钥,因此他也可以解密响应。
- 相同的过程用于下一次交换,但客户端为每个请求创建一个新的派生密钥。
用户名和密码只是服务器上用于验证用户可以使用该服务的消息中传递的数据。