SSL 单向认证流程如下:
1. 拿到申请到的证书后,需要安装到服务器中。
3. 客户端向服务器发送接入请求。
4. 服务器将证书发送给客户端。
5. 客户端开始对证书进行认证,认证过程如下。
* 在证书中获取证书的颁发机构字段
* 在系统证书目录下寻找,颁发机构的根证书,bingo,找到了,证明所收到的证书的颁发机构不是水货。(如果没有找到,要给用户弹出提示,要求用户选择是否信任该证书,如果选择信任那也没话说,直接使用。step3,4的验证证书是否被恶意修改流程,统统丢弃了事,所以还是有风险的)
* 使用该根证书,将收到的证书里的hash值(证书的数字签名)解密,同时验证证书是否过期,证书中的服务器域名字段是否和我们实际访问的服务器域名一致。
* 计算收到证书的hash值(证书的数字签名),并和step3中解密出来的hash值(证书的数字签名)对比,如果相同,证明该证书没有被修改过,可以使用。
6. 证书认证通过后,客户端使用算法产生一个用户后续对数据对称加密的秘钥,并将该秘钥使用从证书中获取到的公钥进行加密,然后传送给服务器。
7. 服务器收到后,使用对应的私钥进行解密,获取到客户端传送过来的对称秘钥。
8. 服务器以及客户端使用这个对称私钥对自己发送的报文进行加密。