怎么查證書的有效性？

驗證證書的有效性是因為證書上面有一個數(shù)字簽名，是使用頒發(fā)證書的ca的根證書的私鑰簽的，如果用戶的電腦中安裝了對應(yīng)的根證書，那么就可以用根證書的公鑰來驗證這個簽名，如果簽名驗證正確，那么就認為這個證書是真實有效的。另外還涉及一個證書撤銷列表（CRL），需要查找證書是否在這個列表中，不在列表里面的證書才是有效的。ssl協(xié)議最開始的握手協(xié)議是這樣的：

（1）客戶端的瀏覽器向服務(wù)器傳送客戶端 SSL 協(xié)議的版本號，加密算法的種類，產(chǎn)生的隨機數(shù)，以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。

（2）服務(wù)器向客戶端傳送 SSL 協(xié)議的版本號，加密算法的種類，隨機數(shù)以及其他相關(guān)信息，同時服務(wù)器還將向客戶端傳送自己的證書。

（3）客戶利用服務(wù)器傳過來的信息驗證服務(wù)器的合法性，服務(wù)器的合法性包括：證書是否過期，發(fā)行服務(wù)器證書的 CA 是否可靠，發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”，服務(wù)器證書上的域名是否和服務(wù)器的實際域名相匹配，檢查證書是否在證書撤銷列表（CRL）中。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續(xù)進行第四步。

（4）用戶端隨機產(chǎn)生一個用于后面通訊的對稱密鑰，然后用服務(wù)器的公鑰（服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得）對其加密，然后將加密后的預(yù)主密鑰（pre master secret）傳給服務(wù)器。

（5）如果服務(wù)器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名，將這個含有簽名的隨機數(shù)和客戶自己的證書以及加密過的預(yù)主密鑰一起傳給服務(wù)器。

（6）如果服務(wù)器要求客戶的身份認證，服務(wù)器必須檢驗客戶證書和簽名隨機數(shù)的合法性，檢測方法和（3）中類似。如果驗證通過，服務(wù)器將用自己的私鑰解開加密的預(yù)主密鑰，然后執(zhí)行一系列步驟來產(chǎn)生主密鑰（master secret ）。客戶也使用相同的方法，從預(yù)主密鑰計算得到主密鑰。(7)握手的主要流程結(jié)束。至此服務(wù)器與客戶已共享了主密鑰。雙方使用主密鑰可以生成用于通信的密碼參數(shù)，包括通信對稱密鑰、mac密鑰等。