1. 比较好奇,为什么客户端需要保存一个根证书
在SSL中,有客户端,服务器,CA认证中心(一个机构)
先要确定一个基调,客户端是完全信任 CA认证中心。CA认证中心给服务器发了个数字证书,CA认证中心表示信任服务器,那么最终,客户端从服务器下载了数字证书,去找CA认证中心校验(校验,CA认证中心是否信任服务器)。
客服端信任CA认证中心,CA认证中心信任服务器,那么客户端就信任服务器。那么这个就是一条信任链。
2. 以上是基本原理,具体实施起来就复杂一点
客户端认证流程:
(1)服务器生成一对密钥,私钥自己留着,公钥交给数字证书认证中心(CA)
(2)CA进行审核,并用CA自己的私钥对服务器提供的公钥进行签名生成数字证书
(3)在客户端建立连接时,客户端从服务器获取数字证书,用CA的公钥(根证书)对数字证书进行验证,比对一致,说明该数字证书确实是CA颁发的(得此结论有一个前提就是:客户端的CA公钥确实是CA的公钥,即该CA的公钥与CA对服务器提供的公钥进行签名的私钥确实是一对。),而CA又作为权威机构保证该公钥的确是服务器端提供的,从而可以确认该证书中的公钥确实是合法服务器端提供的。
为保证第3步中提到的前提条件,CA的公钥必须要安全地转交给客户端(CA根证书必须先安装在客户端),因此,CA的公钥一般来说由浏览器开发商内置在浏览器的内部。于是,该前提条件在各种信任机制上,基本保证成立。
3. 以上总结起来
CA认证中心有一个根证书,是信任链的起点,就是大家都相信CA认证中心。
客户端从CA认证中心下载这个根证书。
CA认证中心给了服务器一个数字证书。
客户端连接服务器的时候,下载这个数字证书。
数字证书不等于根证书。