原理
要想弄明白SSL认证原理,首先要对CA有有所了解,它在SSL认证过程中有非常重要的作用。说白了,CA就是一个组织,专门为网络服务器颁发证书的,国际知名的CA机构有VeriSign、Symantec,国内的有GlobalSign。每一家CA都有自己的根证书,用来对它所签发过的服务器端证书进行验证。
如果服务器提供方想为自己的服务器申请证书,它就需要向CA机构提出申请。服务器提供方向CA提供自己的身份信息,CA判明申请者的身份后,就为它分配一个公钥,并且CA将该公钥和服务器身份绑定在一起,并为之签字,这就形成了一个服务器端证书。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。
下图使用XCA工具模拟CA来进行制作证书:ca.crt是CA的根证书,server.p12是服务器端证书,client.p12是客户端证书。
1、客户端验证服务器流程
正规的做法:
服务提供者(例如百度)向国际知名的证书颁发机构(CA)申请一本服务器证书。比如百度首页上,点击那个小锁头标志,可以看到百度是使用国际知名的证书机构VeriSign颁发的服务器证书。
客户端(浏览器)访问服务器(比如百度)时,服务器就在SSL协议握手时把服务器证书发送给用户浏览器。客户端在本地如果存储有VeriSign的CA根证书,那么用该根证书对服务器证书进行验证一定会通过的。
2、服务器验证客户端流程
服务器端通过根CA给客户端颁发客户端证书,在制作客户端证书时加上和机器相关的信息就可以保证在特定的时候某个帐号只能在这台机器上和服务器交换报文,比如我们用支付宝时必须下载安装数字证书时,可以命名这本证书叫"我的笔记本"或者是"公司电脑"之类的,就是支付宝给用户颁发证书,只能在这台机器上用,你换了机器就必须重新申请。
建立SSL连接时,先是服务器将自己的服务器证书发给客户端,验证通过后,客户端就把自己的客户端证书发给服务器进行验证,如果客户端证书和服务器证书都是通过同一家CA颁发的,那么验证一定会通过,通过后再进行后面的处理。
客户端安装CA根证书ca.crt到客户端信任证书库中,服务器端安装CA根证书ca.crt到服务器信任证书库中。
SSL握手时,服务器先将服务器证书server.p12发给客户端,客户端会到客户端信任证书库中进行验证,因为server.p12是根证书CA颁发的,所以验证通过;
然后客户端将客户端证书client.p12发给服务器,同理因为client.p12是根证书CA颁发的,所以验证通过。