CA证书

CA

• 我们需要购买浏览器内置的CA公司对应颁发的证书，验证过的证书都是可以信的，否则就会提示你不安全。
• 这些CA公司相对固定，只是Chrome决定屏蔽CNNIC的CA时，CNNIC有一些遗憾了
• 最大的卖证书的公司就是VeriSign，Symantec拥有

公私钥+SSL

消息流向消息-->[公钥]-->加密后的信息-->[私钥]-->消息，公钥是可以随便扔给谁的，他把消息加了密传给我（私钥拥有者）。

• ssl：在传递过程中加密
• 公钥/私钥：传递过程中加密的方法，密钥就是key文件。
  公钥，放在服务器端的，私钥放在个人手上（客户端）

keystore

不同的语言、工具序列SSL相关文件的格式和扩展名是不一样的。
*keystore, truststore
Java系喜欢用keystore, truststore来干活，你看它的名字，Store，仓库，它里面存放着key和信任的CA（key和CA可以有多个）。

• truststore：像自己电脑的证书管理器，如果你打开Chrome的设置，找到HTTP SSL，就可以看到里面有很多CA，truststore就是干这个活儿的，它也里面也是存一个或多个CA让Tomcat或Java程序来调用。

• keystore：来存密钥文件的，可以存放多个。

• .PEM文件：pem文件内容可能是certificate也可能是key，也可能两个都有，要看具体情况。可以通过openssl查看。