本文以最简洁的方式介绍HTTPS认证核心过程,省略复杂技术细节,帮助读者快速理解其核心逻辑。
一、HTTPS证书的获取流程
- 服务器运营人员先在本地生成公钥与私钥对,再通过包含公钥、组织信息、域名信息的CSR文件(证书签名请求),向CA(证书颁发机构)提交申请。
- CA会通过多种方式验证申请者信息的真实性,包括组织合法性、域名所有权等。
- 审核通过后,CA会签发证书,证书包含申请者公钥、身份信息、CA信息、有效期等明文内容。
- CA对证书明文内容计算哈希后,用自己的私钥对哈希进行加密(签名)。
二、客户端(浏览器)的HTTPS认证流程
- 当客户端向服务器发起请求时,服务器会返自己的证书文件。
- 客户端会内置可信CA的证书及公钥,若证书对应的CA不被信任,无法找到匹配的CA信息,证书会被判定为非法。
- 客户端读取证书中的明文信息,用相同的哈希函数计算出信息摘要,再用对应CA的公钥解密证书中的签名,对比两者是否一致。
- 若一致,则确认证书合法,其包含的公钥、域名、有效期等信息均可靠,客户端会对证书中的可靠信息和当前实际访问的域名、时间进行对比验证。
三、证书链的认证逻辑
- 证书通常按层次签发,形成证书链,例如:根CA签发子CA证书,子CA签发企业根域名证书,企业再为自身子域名签发证书。
- 证书链验证时,服务端会主动下发中间证书,验证从终端证书开始,逐层向上进行。
- 用上一级CA的公钥解密当前证书的签名,对比哈希值,确认证书未被篡改且为对应CA签发,认定次轮证书可靠。
- 再尝试对上一级CA证书进行认证,重复此过程,直至找到当前客户端内置信任的证书。
- 若服务端未下发完整中间证书,客户端会启动兜底机制自动拉取------证书中会内置CA Issuers条目,包含上一级CA证书的公开下载URL,客户端可通过该URL获取缺失的中间证书,完成验证。