我已經對此做了一些研究,但仍然存在一些問題,關於當服務器將證書發送到客戶端時,在驗證簽名和根證書方面究竟發生了什麼。驗證SSL證書的確切程度?
當你創建一個CSR,它與它一起生成私鑰,你把它發送到CA生成證書並簽名,但不將CA使用自己的私鑰簽名?那麼您使用CSR生成的私鑰有什麼意義?
當服務器發送其證書以供客戶端驗證時,客戶端如何驗證其是否是有效的CA證書。它有一系列值得信任的CA證書,可以 - 但是他們到底是如何驗證它是使用服務器證書的簽名和公鑰簽署服務器證書的有效CA?比較哪些東西以確保它不是僞造的?
加密你的內部自簽名證書是否有意義?內部根證書怎麼樣?或者是唯一值得加密的私鑰?
如果我們不保持對例如我們的Web服務(通過SSL)加密數據的數據庫,將我們曾經關心存儲我們自己的私鑰一旦我們生成自簽名的證書,如果我們這樣做,他們爲什麼?
謝謝您的詳細回覆!還有幾個問題:如何驗證數字簽名,這正是我想要了解的。另外在什麼情況下我們需要保護私鑰的備份副本? – alexfvolk
@alexfvolk使用私鑰創建數字簽名並使用公鑰進行驗證。如果它不驗證,則不是使用與公鑰對應的私鑰創建的,因此其中一個或其他是僞造的。確切的過程太複雜,無法在評論中描述,但這是PKI的基本操作。 (2)總是。 – EJP