非对称加密

        Public-key cryptography，又称 asymmetric cryptography，是一个使用成对钥匙的加密系统。每对钥匙包括：

• 一个公钥：可能被其他人知道
• 一个私钥：除了所有者之外，可能不被任何人知道

        非对称加密的用途：数据加密、身份认证

非对称加解密

        公钥加密，私钥解密：消息加密传递

非对称签名

        私钥签名，公钥验签：验证数据发送方的身份

---

Public Key Infrastructure

        公钥基础设施（机构），用于证明服务器的身份信息，防止中间人攻击

证书申请

        

证书申请：生成CSR文件

                

证书申请：证书内容

        证书是一个数据结构，其中包含一个 public key 和一个 name

                        

验证证书

        客户端验证证书公钥的合法性

                

         密钥协商流程: TLS 握手

---

CA的作用

• 颁发证书，使用「CA的私钥」对证书请求签名文件（.csr文件）进行签名
• 浏览器信任，浏览器/操作系统 内置了CA的证书，所以浏览器可以直接使用内置的CA公钥验证签名

---

交叉证书

        适用于新的CA机构的证书无法短时间部署在各个浏览器/操作系统的解决方案

        新证书没有在浏览器/操作系统中内置，而CA也是新机构，所以无法被信任

        

        解决方案：交叉证书