HTTPS证书以及过程

SERVER

公    钥 SERVER.PEM

签名获得服务器签名

-req 产生证书签发申请命令-newkey 生成新私钥 rsa:4096 生成秘钥位数-nodes 表示私钥不加密-sha256 使用SHA-2哈希算法-keyout 将新创建的私钥写入的文件名-x509 签发X.509格式证书命令。X.509是最通用的一种签名证书格式。-out 指定要写入的输出文件名-subj 指定用户信息-days 有效期（3650表示十年）

通过摘要算法得到一个Hash值，然后用CA的私钥对这个Hash值加密就得到这个数字签名

返回给客户端发一个server hello请求，请求中会告诉客户端它选择的协议版本、加密套件、压缩算法以及一个随机数。(Random2)

私    钥 CA.KEY

CA机构的CA.CRT

CA机构使用私钥对服务器公钥进行签名

根证书 server.csr

两端通过相同的算法对着3个随机数生成后续数据传输的对称加密密钥

Client

服务器的CA证书一般集成在系统内部

使用私钥解密Pre-master获得 Random3

对称加密秘钥交换好了

发起HTTP请求:     client hello请求中会携带TLS版本信息、加密套件候选列表、压缩算法候选列表以及一个随机数(Random1)。

客户端计算出一个随机数(Random3)然后用SERVER公钥进行加密获得pre-master发送给服务器端。

服务端会给客户端发一个server hello done告诉客户端信息已发送完毕

根证书 CA.CRT

服务端会给客户端发一个server certificate请求，里面包含服务端的数字证书，用于客户端进行校验

客户端收到证书以后进行校验获取到服务端的公钥

私    钥 SERVER.KEY

CA机构