CA 是一个被完全信任的担保机构,它包含自己的私钥与公钥,CA 使用自己的公钥与私钥以及机构信息, 通过指定特定的格式生成【签名证书】,然后附在自己的机构信息上,以确认机构信息是准确不可篡改。
CA有了自己的签名证书,则可以对其它成员的公钥进行签名,并给成员发放成员自己的【签名证书】,
这样每当A想向B发数据,B首先将公钥发给CA机构, CA机构拿到B的公钥后向B确认,生成一份数字证书给B,数字证书包含了CA的担保认证签名和B的公钥,B拿到CA的这份数字证书后,就发给A,A拿到数字证书后,看到上面有CA的签名,就可以确定当前拿到的公钥是B发的,那么就可以放心大胆地使用公钥加密数据,然后发给B了。
tlsca证书与ca证书生成的过程是完全相同的
常见的四种【签名证书】格式 1. 个人信息交换 (PKCS #12) > 个人信息交换格式(PFX,也称为 PKCS #12)支持安全存储证书、私钥和证书路径中的所有证书。 PKCS #12 是唯一可用于导出证书及其私钥的文件格式。
加密消息语法标准 (PKCS #7) > PKCS #7 格式支持存储证书和证书路径中的所有证书。
DER 编码的二进制 X.509 > 区别编码规则 (DER) 格式支持存储单个证书。该格式不支持存储私钥或证书路径。
Base64 编码的 X.509 > Base64 格式支持存储单个证书。该格式不支持存储私钥或证书路径。