前提申明:
在使用任何基于RSA服务之前,一个实体要真实可靠的获取其他实体的公钥.
1,一个可以确认公钥身份的方案:[离线确认]
主:B做同样的事情得到A的公钥. 但是这种方法扩展性差,不可行.
2,通过第三方介绍
操作步骤:
1,AB,BC之间分别离线确认完密彼此公钥 2,B将[C-pub&sign]发给A[B对C-pub的sign] 3,A有B的公钥,由于A已经信任了B. A用B的公钥解密出md5,A对C-pub进行md5.核实对比. 注:有了彼此的公钥就可以信任彼此了.
PKI操作:
1,仅有一个受信任的介绍者 2,CA签署每个人的公钥 3,每个人都有CA的公钥.
1, 每个实体都要获取CA的公钥(认证CA的过程)
2. 每个实体都要提交自己的公钥给CA(注册到PKI)
3. 这个初始步骤,必须手动认证或通过一个可信赖的传输网络来执行
交换证书其实就是交换公钥.
数字证书仅仅解决了"这个公钥持有者到底是谁"的问题.
获取CA公钥[离线确认]
生成密钥对,发公钥+个人信息给CA
CA用私钥签名产生[公钥+个人信息+sign]发给用户
两个服务器开始通信,如上图.