服务器证书的工作原理

TLS/SSL的功能实现主要依赖于三类基本算法：散列函数 Hash、对称加密和非对称加密，其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性。

解决上述身份验证问题的关键是确保获取的公钥途径是合法的，能够验证服务器的身份信息，为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息，并颁发认证"证书"，同时能够为使用者提供证书验证服务，即PKI体系。

基本的原理为，CA负责审核信息，然后对关键信息利用私钥进行"签名"，公开对应的公钥，客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书，基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下：

避免身份造假！

解释原因：

CA（数字证书认证，Certificate Authority）机构，是承担公钥合法性检验的第三方权威机构，负责指定政策、步骤来验证用户的身份，并对SSL证书进行签名，确保证书持有者的身份和公钥的所有权。

DVSSL证书只验证对域名的管理权限，DVSSL证书适用于不需要身份保证，只需要实现加密的网站，或者个人博客类的网站。

OVSSL证书必须根据严格的行业标准进行验证，在颁发OVSSL证书之前，需要进行三方面的验证：1、验证对域名的管理权限。2、由受信任的证书颁发机构验证企业是否是一个合法存在的真实实体。3、能够授权证书的颁发。CA会以认可的通讯方式与申请人联系，这通常是通过电话完成的，其中电话号码是通过政府网站查询到的。

EVSSL证书的审查更为严格，审查部会在政府网站上查询公司相关信息，验证申请组织是合法注册且真实存在的实体，并拨打查询到的固定电话来确认该企业是否在申请EVSSL证书，若无法接听，还需要提供律师证明文件才能通过审核。

Gworg总结：SSL证书的存在是为了进行身份识别与数据加密协议传输。

如果不核实身份，SSL证书就起不到确定身份、数据传输加密的作用了。

订户申请OV SSL、EV SSL证书时，应提交如下材料:

1、机构身份证明材料(营业执照等)

2、经办人身份证明材料

3、证书申请文件

4、SSL 证书申请表

SSL证书申请表及证明材料复印件需加盖公章。

这些资料可以对网站的真实身份做一个验证，证明该网站可信，用户可进行数据填写、交易等。安全得到保证。

---