随着互联网的发展,网络钓鱼事件的不断发生,让很多网民和企业都开始注重交易安全问题,SSL服务器证书不断得到认可,逐渐被人们熟知,下面就为大家介绍SSL服务器证书的使用过程。
假设一个Web网站安装了一个SSL服务器证书,一个用户通过浏览器使用SSL安全协议(即安全超链协议HTTPS)访问该网站(即浏览器地址栏输入的URL是https开头的),这时,浏览器和网站的Web服务器程序之间将发生如下交互:
1)Web服务器程序将服务器上安装的SSL证书,以及它能构造的该SSL证书的证书链中的、除根CA证书以外的中级CA证书发送到浏览器端;
2)浏览器调用本地的密码服务接口(如CryptoAPI、PKCS#11),利用接收到的中级CA证书以及本地的中级CA证书、根CA证书,按前面提到的方法,构造证书信任链,验证证书的可信性、有效性;
3)若证书验证不通过,则浏览器提示用户验证失败的原因,如证书签名无效、证书超过了有效期或证书上的域名与网站的域名不符,又或者证书不是由可信的CA签发(即证书不能链接到一个本地的可信根CA证书)等;
4)若证书验证通过,则浏览器会发送一个随机字串到Web服务器;
5)Web服务器用其SSL证书的私钥对该随机字串签名,然后将签名的字串返回到浏览器;
6)浏览器用Web服务器传递过来的SSL证书上的公钥,验证随机字串签名的有效性,若签名验证通过,则说明Web服务器确实是该SSL数字证书(私钥)的拥有者,浏览器完成对Web服务器的身份鉴别;否则,网络链接失败;
7)可选的(对双向SSL身份鉴别),浏览器也可将客户端的用户证书(及其证书链上的中级CA证书)发送到Web服务器端,Web服务器端用类似的方式,完成对客户端的身份鉴别;
8)在身份鉴别(单向或双向)完成后,浏览器和Web服务器交换密钥信息(keying materials),建立加密通道,然后进行数据传送和交换。
