日期:2014-05-16  浏览次数:20707 次

隔壁Java区小弟前来问个关于PKI方面的问题
我刚刚在书上了解到,CA的自签名证书是整个PKI的基础。有了可靠的CA自签名证书,所有其他部分才能正常进行下去。

小弟有个问题哈,如何才能保证这个自签名证书安全地发送到客户端的?
如果自签名证书本身被黑客拦截,继而冒充CA服务器,那这不完全就扯淡了么。。。。

------解决方案--------------------
客户端申请证书的时候本地有个文件的,CA服务器返回的文件要和那个合并后才是一张完整的证书.
私钥应该始终在客户端那里的.


CA的自己的证书私钥也是不需要传递给客户端的.
所以,整个过程是安全的.

如果私钥泄露,的确是不安全的.