Security 如何将客户端证书下载并安装到客户端计算机

我问这个问题是因为我认为当我们尝试访问一些支持https的网站，例如gmail、facebook、我们的网上银行时，我们不会下载或安装客户端证书

那么，我们如何确保从我们的机器发送的信息被正确加密呢

---

谢谢。

除了您的网上银行业务，您列出的示例中没有一个使用客户证书

客户机证书是作为客户机发送到服务器以进行身份验证的内容。这也称为双向TLS或双向TLS身份验证。 VPN服务是利用双向TLS的一个特别常见的示例。在web上，它通常仅用于服务器到服务器的身份验证，因为很难设置和维护以供实际用户使用，但一些银行确实将其作为一种选项提供

您实际上想到的是，如何知道internet上网站的服务器证书是有效的，而无需手动导入它们。答案很简单-你已经预装了它们。。。有点。 当然，您实际上并不拥有web上每个启用TLS的网站的证书，这是不可能的，但是web浏览器附带了一组根CA证书，可以验证它们

它的运作方式被称为信任链，它是这样的：

根证书颁发机构CA数量有限，几乎每个人都信任它。所有CA都有一个或多个自签名根证书，这些证书随web浏览器预装。 根CA通过使用其根证书对其进行签名，向其自身或子CA（如经销商）或业务中其他不太受信任的机构颁发中间证书。 然后，中间CA为终端客户签发单个证书。此处的客户指购买证书的实体。这些称为叶证书。 从技术上讲，中间CA是可选的，叶证书可以由根CA直接签名；反之亦然——可以有多个中间体

当您访问例如facebook.com时，它将提供与用于签名的中间版本捆绑在一起的叶子证书；您的浏览器将验证所服务的叶是否由所服务的中间证书签名，然后，由于它已预安装了所有根证书，因此它还将验证所服务的叶是否由其中一个根CA签名，从而完成信任链验证

---

这是一个复杂而脆弱的结构，但不知何故它起了作用，这是我们今天拥有的最好的结构。

gmail和facebook都不使用客户端证书。我怀疑你们的银行也有。然而，你的问题并不清楚。