关于https以及CA机构和颁发证书的问题?

发布网友 发布时间：2022-04-23 04:45

我来回答

共5个回答

热心网友 时间：2023-04-28 15:03

您好！

本图描述了正常网站证书操作流程的图表：

CA机构向浏览器开发商颁发CA的根证书（在图表中白色的证书图形），开发商将CA机构的根证书放置于浏览器的一个证书信任列表里面。当用户下载该浏览器到自己的电脑里面，此时用户的浏览器会信任证书信任列表里面的任意CA证书签署的证书。

当一间公司希望它的网站可以通过HTTPS通信的时候，公司在CA机构购买一个网站证书（在图表中绿色的证书图形），由该CA机构签发的网站证书可以向用户确保网站的安全。

当用户需要浏览这一个安全网站的时候，浏览器首先向服务器请求证书，检查该证书的根证书是否在浏览器的证书信任列表里面并验证证书的签名是否正确，当检查无误的时候浏览器继续跟服务器建立HTTPS连接。

总结：上图主要是帮助理清客户端，网站，CA机构，浏览器之间的关系，以及他们之间的交互流程。

一次https建立连接的过程，即安全校验方面的，主要有两个目的：

验证所访问网站的合法性，杜绝钓鱼网站、黑网站

加密自己和该网站的传输数据，以防泄密、篡改、中间人问题

该过程具体描述如下：

1、浏览器将自己支持的一套加密规则发送给网站。 
2、网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构，以客户端公钥C_PuKey加密后通知到浏览器；
3、客户端通过私钥C_PrKey解密后，获得网站证书要做以下工作：
验证证书的合法性（证书本身是否伪造？颁发证书的机构是否合法？证书中包含的网站地址是否与正在访问的地址一致？）证书受信任，或者是用户接受了不受信的证书。否则拒绝访问，如果是，　　　　

4、从刚才回传的信息中获得服务器选择的加密方案，并随机选择一个通话密钥key，接着用服务器公钥S_PuKey加密后发送给服务器；

5、服务器接收到的浏览器传送到消息，用私钥S_PrKey解密，获得通话密钥key， 接下来的数据传输都使用该对称密钥key进行加密。 

详情：申请CA机构SSL证书参考流程图：网页链接

热心网友 时间：2023-04-28 15:03

申请SSL证书的流程图。具体流程如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个秘钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-7个工作日就能颁发。

热心网友 时间：2023-04-28 15:04

热心网友 时间：2023-04-28 15:04

热心网友 时间：2023-04-28 15:05

您好！

SSL使用安装的图片，您可以根据在Gworg申请SSL证书，完成注册：网页链接

申请完毕后，请根据文档中的服务器环境安装：网页链接