1.は好奇心、なぜクライアントは、ルート証明書を保存する必要があります
SSLでは、クライアント、サーバー、CA認証センター(代理店)があります
まず、クライアントは完全にCA認証センター信頼されるトーンを決定します。CA認証局サーバは、デジタル証明書、CA証明センターを送信するために、信頼のサーバは、サーバからの最終的なクライアントのダウンロードデジタル証明書は、(サーバーを信頼するかどうかのチェック、CA認証センター)CA認証センターのチェックに行くと述べました。
Kefuduan信頼CA認証センター、CAは、認証局サーバを信頼され、クライアントはサーバーを信頼します。これは信頼の連鎖です。
2.これらは、基本的な原則があり、それは、より具体的に実装することは複雑です
クライアント認証プロセス:
(1)サーバーは、パブリック認証局(CA)に、私の所有物では、秘密鍵、鍵のペアを生成する
(2)見直しのためのCA、およびサーバが提供する独自のCAの秘密鍵の公開鍵でデジタル署名を生成します証明書
(3)接続があまりにも(証明書が実際にCAによって発行されたことを示す、これを同じに比べて、クライアント、サーバーからクライアントを取得デジタル証明書、デジタル証明書(ルート証明書)とCAの公開鍵を検証するために、確立されています前提があるという結論はこれです:クライアントの公開鍵は、CAながら権威として、本当にCA CAの公開鍵であり、秘密鍵、CAの公開鍵と実際のペアに署名するCAが提供する公開鍵サーバ)です。公開鍵が本当に証明書が実際にサーバーが提供する正当な公開鍵であることを確認することができますので、サーバー側に提供することであることを確認してください。
ステップ3で説明した前提条件を確保するために、CAの公開鍵を安全にクライアント(CAのルート証明書、クライアント側にインストールする必要があります)に転送する必要があり、そのため、ブラウザの開発者によって一般的にはCAの公開鍵内蔵の内部ブラウザ。このように、様々なメカニズムの信頼の前提条件は、基本的なセットを保証します。
3.上記をまとめるために、
CA認証センターは、ルート証明書を持っている信頼の連鎖の開始時点で、我々はすべてのCA認証センターを信じているということです。
CAのルート証明書の認証センターからクライアントのダウンロード。
CA認証センターは、サーバーにデジタル証明書を与えました。
サーバーへのクライアント接続は、デジタル証明書をダウンロードします。
デジタル証明書は、ルート証明書を等しくありません。