一、SSL证书生成流程
SSL证书生成的核心流程包含三个关键步骤:
- 生成服务器私钥:通过
openssl genrsa创建2048位RSA密钥 - 创建证书签名请求(CSR):使用私钥生成包含组织信息的请求文件
- CA机构签发证书:权威CA通过验证后,用根证书私钥对CSR签名
自签名证书的生成需额外创建CA根证书,并自行完成签发流程,此时浏览器会提示不受信任警告。
二、CA信任链验证机制
浏览器验证证书时遵循链式校验逻辑:
- 检查域名证书的颁发机构是否受信任
- 逐级验证中间证书到根证书的有效性
- 确认证书未过期且域名匹配
信任链的完整性要求证书文件包含中间CA证书,否则浏览器可能因无法建立完整信任链而拒绝连接。
三、加密机制解析
SSL协议采用混合加密体系:
- 非对称加密:证书公钥用于交换会话密钥
- 对称加密:建立连接后使用AES等高效率算法
证书中的公钥信息通过CA数字签名保证真实性,防止中间人攻击。
四、自签名证书与权威CA的区别
两类证书的核心差异体现在信任链建立方式:
- 自签名证书缺乏第三方信任背书
- 权威CA证书已预置在浏览器信任库
- 生产环境建议采用Let’s Encrypt等免费CA方案
完整的CA信任链验证和加密机制构建了HTTPS安全基础,证书生成需注意密钥管理规范,生产环境应优先采用受信CA机构颁发的证书以保障浏览器兼容性。
