如何向这些CA来申请数字证书呢？

申请的过程大体是：

1.本身本地先生成一对密匙，而后拿着本身的公匙以及其余信息（好比说企业名称啊什么的）去CA申请数字证书。

 

2.CA在拿到这些信息后，会选择一种单向Hash算法（好比说常见的MD5）对这些信息进行加密，加密以后的东西咱们称之为摘要。

单向Hash算法有一种特色就是单向不可逆的，只要原始内容有一点变化，加密后的数据都将会是千差万别（固然也有很小的可能性会重复，有兴趣的小伙伴鸽巢原理了解一下），这样就防止了信息被篡改。

 

3.生成摘要后还不算完，CA还会用本身的私匙对摘要进行加密，摘要加密后的数据咱们称之为数字签名。

 

4.最后，CA将会把咱们的申请信息（包含服务器的公匙）和数字签名整合在一块儿，由此而生成数字证书。而后CA将数字证书传递给咱们。

 

数字证书怎么起做用呢？

服务器在获取到数字证书后，服务器会将数字证书发送给客户端，客户端就须要用CA的公匙解密数字证书并验证数字证书的合法性。

那咱们如何能拿到CA的公匙呢？咱们的电脑和浏览器中已经内置了一部分权威机构的根证书，这些根证书中包含了CA的公匙。

 

之因此是根证书，是由于现实生活中，认证中心是分层级的，也就是说有顶级认证中心，也有下面的各个子级的认证中心，是一个树状结构，计算机中内置的是最顶级机构的根证书，不过不用担忧，根证书的公匙在子级也是适用的。

 

客户端用CA的公匙解密数字证书，若是解密成功则说明证书来源于合法的认证机构。解密成功后，客户端就拿到了摘要。

 

此时，客户端会按照和CA同样的Hash算法将申请信息生成一份摘要，并和解密出来的那份作对比，若是相同则说明内容完整，没有被篡改。

 

 

最后， 客户端安全的从证书中拿到服务器的公匙就能够和服务器进行 安全的非对称加密通讯了。服务器想得到客户端的公匙也能够经过相同方式。