有人可以向我解释以下内容:
谁在CSR期间创建公钥? CA有责任提供它还是取决于证书申请者?如果后者为真,那么浏览器客户端可以在其信任库中包含此公钥以验证从服务器发送的SSL证书?如果前者是真的,那么CA拥有多少个公钥,以及浏览器客户端知道所有这些密钥的方式是什么?这是我无法找到或给出满意答案的一点,因为我无法想象客户端拥有大量公钥的数据库......
非常感谢
答案 0 :(得分:2)
公钥和私钥只能作为一对生成。由于CA不应该知道私钥,因此请求者必须自己生成该对。
虽然浏览器必须存储每个值得信赖的CA的公钥,但它不必在其信任库中包含每个启用https的网站的公钥,如prettykittens.org。
那么客户如何判断网站的真实性?
在SSL握手期间,网络服务器发送其公钥和使用CA公钥签名的消息,该公钥粗略地表示“这是公司XY的prettykittens.org的公钥”(也称为证书)。然后浏览器只需要使用CA的公钥来验证签名,并且很有可能。