隔壁Java区小弟前来问个关于PKI方面的问题
我刚刚在书上了解到,CA的自签名证书是整个PKI的基础。有了可靠的CA自签名证书,所有其他部分才能正常进行下去。
小弟有个问题哈,如何才能保证这个自签名证书安全地发送到客户端的?
如果自签名证书本身被黑客拦截,继而冒充CA服务器,那这不完全就扯淡了么。。。。
[解决办法]
客户端申请证书的时候本地有个文件的,CA服务器返回的文件要和那个合并后才是一张完整的证书.
私钥应该始终在客户端那里的.
CA的自己的证书私钥也是不需要传递给客户端的.
所以,整个过程是安全的.
如果私钥泄露,的确是不安全的.
