如何弄自己的https证书（HTTPS证书）

HTTPS：证书

一、前言

在上一篇文章中我们介绍了，SSL的基本加密过程，如下

不过遗憾的是，这种加密过程还是存在一些问题的，那就客户端无法保证自己收到的公钥就是服务器发送过来的货真价实的公钥，还有可能是中间人利用劫持技术将公钥给替换了。因此为了解决上述问题，我们引入了证书机制。

二、证书

公钥证书是由数字证书认证机构(CA)和其相关机关颁发的

证书机制的工作流程如下：

1 服务器的运维人员将公钥发送给CA数字认证机构
2 认证机构在收到公钥后会对这个公钥做数字签名操作，然后将这个公钥与数字签名等相关信息绑定在一起形成公钥证书(一个文件)，发给运维人员，运维人员再将这个证书绑定在服务器中
3 客户端请求HTTPS进行通信时，服务器会将这份由CA数字证书认证机构颁发的公钥证书发送给客户端，以进行接下来非对称加密通信。
4 客户端接收到这份公钥证书之后，会使用数字证书认证机构的公钥对证书上数字签名进行验证，以确定服务器公钥的真实性。还会验证验证证书的相关信息，证书有效（没过期等）。这样客户端就可以确认两件事情：一是数字正式时真实有效的，二是服务器的公钥也是值得信赖的。

在这整个通信中，数字证书机构的公钥必须安全给客户端，如果还是使用通信的方式获取这个认证公钥，那么这个认证公钥还是有被篡改的风险。因此，鉴于这种情况，多数浏览器开发商发布版本的时候，会事先在内部植入常用认证机关的公钥。如下：

如何弄自己的https证书（HTTPS证书）(1)

2.1 证书签发过程

1.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证；
2.数字证书机构通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等；
3.如果信息审核通过，数字证书机构会向申请者签发认证文件-证书。证书包含以下信息：申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文，同时包含一个签名；

签名的产生算法：首先，使用散列函数计算公开的明文信息的信息摘要，然后，采用 CA 的私钥对信息摘要进行加密，密文即签名。证书包含：公钥申请者与颁发者的相关信息签名。

2.2 完整通信步骤

如何弄自己的https证书（HTTPS证书）(2)

1.客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。

如何弄自己的https证书（HTTPS证书）(3)

2.服务器可进行 SSL 通信时，会以 Server Hello 报文作为应答。和客户端一样，在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

如何弄自己的https证书（HTTPS证书）(4)

如何弄自己的https证书（HTTPS证书）(5)

如何弄自己的https证书（HTTPS证书）(6)

5.SSL 第一次握手结束之后，客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。
6.接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。
7.客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。

如何弄自己的https证书（HTTPS证书）(7)