您好!
本图描述了正常网站证书操作流程的图表:
CA机构向浏览器开发商颁发CA的根证书(在图表中白色的证书图形),开发商将CA机构的根证书放置于浏览器的一个证书信任列表里面。当用户下载该浏览器到自己的电脑里面,此时用户的浏览器会信任证书信任列表里面的任意CA证书签署的证书。
当一间公司希望它的网站可以通过HTTPS通信的时候,公司在CA机构购买一个网站证书(在图表中绿色的证书图形),由该CA机构签发的网站证书可以向用户确保网站的安全。
当用户需要浏览这一个安全网站的时候,浏览器首先向服务器请求证书,检查该证书的根证书是否在浏览器的证书信任列表里面并验证证书的签名是否正确,当检查无误的时候浏览器继续跟服务器建立HTTPS连接。
总结:上图主要是帮助理清客户端,网站,CA机构,浏览器之间的关系,以及他们之间的交互流程。
一次https建立连接的过程,即安全校验方面的,主要有两个目的:
验证所访问网站的合法性,杜绝钓鱼网站、黑网站
加密自己和该网站的传输数据,以防泄密、篡改、中间人问题
该过程具体描述如下:
1、浏览器将自己支持的一套加密规则发送给网站。
2、网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构,以客户端公钥C_PuKey加密后通知到浏览器;
3、客户端通过私钥C_PrKey解密后,获得网站证书要做以下工作:
验证证书的合法性(证书本身是否伪造?颁发证书的机构是否合法?证书中包含的网站地址是否与正在访问的地址一致?)证书受信任,或者是用户接受了不受信的证书。否则拒绝访问,如果是,
4、从刚才回传的信息中获得服务器选择的加密方案,并随机选择一个通话密钥key,接着用服务器公钥S_PuKey加密后发送给服务器;
5、服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key, 接下来的数据传输都使用该对称密钥key进行加密。
详情:申请CA机构SSL证书参考流程图:网页链接
申请SSL证书的流程图。具体流程如下:
第一步,生成并提交CSR(证书签署请求)文件
CSR文件一般都可以通过在线生成(或服务器上生成),申请人在制作的同时系统会产生两个秘钥,公钥CSR和密钥KEY。选择了SSL证书申请之后,提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。
第二步,CA机构进行验证
CA机构对提交的SSL证书申请有两种验证方式:
第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱(这个邮箱是通过WHOIS信息查询到的域名联系人邮箱)。管理员在收到邮件之后,确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。
第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说,除了域名认证,还得进行人工核实企业相关资料和信息,确保企业的真实性。
第三步,CA机构颁发证书
由于SSL证书申请的型号不同,所验证的材料和方式有些区别,所以颁发时间也是不同的。
如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书,一般3-7个工作日就能颁发。
第一步:Trusted CA向vendor提供CA根证书。
第二步:Trusted CA给site提供站证书。
第三步:vendor的浏览器在用https访问的时候会检查站证书的合法性。
例如chrome里面,https访问google的时候,地址栏的前面的小锁会是绿色的。因为GeoTrust是google site的根证书拥有者,而这个是被99%以上的浏览器信任的。本回答被提问者采纳
网站要实现https加密,首先要申请SSL证书,申请SSL证书的步骤如下:
CSR文件制作:申请SSL证书之前,需要制作CSR文件,可在沃通CA官网CSR在线生成工具中生成CSR文件,并妥善保存生成好的CSR和Key文件,然后将CSR提供给CA机构来申请SSL证书。
CA认证证书申请:将CSR提交给CA,CA机构审核通过后才能颁发证书,对于DVSSL证书只需验证域名管理权限,一般10-30分钟即可颁发,OVSSL证书和EVSSL证书除了要验证域名管理权限外,还要严格审查网站真实身份,以证明申请单位是一个真实存在的合法实体,CA机构需要在人工核实后才能签发证书,一般需要3-5个工作日。
安装证书
在收到CA机构签发的SSL证书后,将SSL证书部署到服务器上,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等需要将CA签发的证书CER文件导入JKS文件后,复制到服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。