网站SSL安全证书认证的基本过程和原理

现在的网站基本上都迁移到了https协议上，https是http协议的安全升级版本。

在原来的http协议下，如果有人截获了你发送给服务器的报文，就能获取里面的信息，比如用户名乃至密码。

所以http协议单纯从传输层面看是不安全的，其信息安全性得依赖额外的应用层面来保证。

那么如何保证信息交互的安全性呢，一般是通过密钥对的方式，也就是数学算法上可以把一个密钥分成2个部分，

一半是公钥，一半是私钥。公钥加密的信息必须用私钥来解密，反之亦然。

这样即使你发送的信息被黑客截获，在没有私钥的情况下，仍然不能解密你的信息，从而保证了信息传输的安全。

要建立一个https网站，首先需要申请一个安全证书，向证书颁发机构提交一个CSR（证书）文件，这个文件可以通过网站在线生成也可以在服务器上通过命令行（linux上）或者一些界面工具（windows上）来生成。

什么是CSR文件?

CSR全名是Certificate Signing Request，也就是证书签名请求，在生成这个csr文件的时候，通常会同时生成一个key文件，csr文件包含了公钥和申请人的基本信息（比如域名、公司和地址信息等），key则包含了私钥。key文件自己妥善保存不要交给任何人，而把csr文件提交给CA（发证机构），CA使用你提交的相关信息生成证书（通常是一个pem编码格式的文件）。然后你可以在web服务器上安装证书（安装时需要用到key文件）。

HTTPS请求过程

证书安装好后，客户端通过https访问你的网站，其过程如下：

1. 客户端向服务器发送访问请求；

2. 服务器将证书发送给客户端；

3. 客户端开始对证书进行认证：

* 在证书中获取证书的颁发机构字段

* 在系统证书目录下寻找，颁发机构的根证书，如果找到则通过，如果没有找到，给用户弹出提示，由用户选择是否信任该证书

* 验证证书是否过期，证书中的服务器域名字段是否和我们实际访问的服务器域名一致，通过计算证书hash值判断是否被篡改。

4. 证书认证通过后，客户端使用协商好（过程略）的加密方案生成随机码，用作通信过程中的密码，使用服务端证书中获取到的公钥进行加密并发送给服务端；

5. 服务器收到后，使用证书对应的私钥进行解密，获取到对称加密的通信密码；

6. 使用对称加密通信。

HTTPS工作在第几层？

回答这个问题得限定网络模型上下文，如果是OSI模型，那么HTTPS工作在TOP5以上（会话层、表达层和应用层，区分不是那么明确），如果是TCP/IP模型，那么显然HTTPS也是应用层协议。原则上HTTPS是应用层的协议，只不过，在使用HTTPS时，实际上是建立了一个SSL（TLS）连接，把HTTP应用层的数据通过SSL来安全传输，所以从网络传输的角度而言，它是工作在会话和表达层，只是在网络两端会有应用层的加解密处理。