第十五讲:SSL证书的公信力是如何保证的?

　　在之前的加密过程中,我们谈论了Alice和Bob之间进行通讯;但是他们有个前提条件;Alice必须知道Bob就是Bob,也就是它收到的信息必须是由Bob发来的;那么这样的一个新的问题在多方通讯的一个过程中尼?

必须有一个公信机构,那么这个机构就是CA机构,接下来我们看看CA是怎么样颁发证书和证书过期的?

下面图中最右安CA就是CA机构,他负责颁发证书;而我们属于站点的维护者,就是下图最左边的证书订阅人;

 

 

　　首先我们作为证书订阅人,要去登记机构申请一个证书;登记机构验证订阅人的身份之后发通过CSR发送给CA机构,CA机构通过以后生成一对 公钥和私钥,公钥会在CA证书中保存着;同时把公钥和私钥发放给证书订阅人;证书订阅人拿到公钥私钥以后会将其部署到Web服务器,比如Nginx;当浏览器通过第一步访问我们https站点的时候会请求证书,而我们的Web服务器会把我们的公钥证书发送给浏览器;而浏览器会经过验证我们的证书是否是合法和有效的;CA一般是一年的有效期;那么这个有效期是怎么体验的尼?

　　CA机构会把过期的证书放到CRL服务器中;这个服务器会把所有的过期证书形成一条链条;所以它的性能非常非常的差;所以又推出了一个OCSP响应程序;OCSP可以就一个证书去查询,它是否过期;所以浏览器是可以直接去查询OCSP响应程序的;但OCSP响应程序性能还不是很高;比如我们的Nginx会有一个OCSP开关;当我们打开开关以后会由Nginx主动的去OCSP响应程序去查询;这样大量的客户端直接从Nginx就可以直接获取到证书是否有效;

　　那么证书是怎样组成的尼?