SSL 证书
数字证书
安全运维
域名
企业服务
SSL 证书
数字证书
安全运维
域名
企业服务
博客 > 根证书和中间证书的那些事儿
浏览量:12776次评论:0次
作者:Anita时间:2022-06-29 15:23:12
根证书是什么?中间证书又是什么?他们与SSL证书有什么关系?为了更清楚的了解根证书和中间证书,我们将从证书定义、根证书与中间证书的区别以及如何查找中间证书几方面为你解读!
根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。每个浏览器都有根证书库,有的浏览器是采用自主的根证书库,而一些浏览器则使用第三方的根证书库。根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书。
受信任的根证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。
那么,浏览器是如何鉴定信任网站的SSL证书?其实,当客户端访问服务器时,浏览器会查看SSL证书并快速验证SSL证书的真实性。浏览器对SSL证书身份验证流程是根据证书链的内容而操作的。那么证书链是什么?
用户在获取SSL证书之前,首先要生成证书签名请求(CSR)和私钥。在最简单的迭代中,用户将生成的CSR提交到证书颁发机构,然后使用CA机构的根证书的私钥对用户的SSL证书签名,并将SSL证书颁发给用户。
在证书链中,通常分为三级结构,根证书、中间证书和服务器证书。在正常的证书链顺序中服务器证书处于最低端,该证书包含了服务器域名,服务器公钥和签名值等。在其上一级则是中间证书,也就是由权威CA机构授权的二级机构,用来签发服务器证书。最上级就是根证书,也就是CA机构,对服务器身份进行校验时,需要验证整个证书链,由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器证书的签名值是否正确,从而构成一条信任链。如下图所示:
CA机构不会直接使用根证书签发服务器证书(即SSL证书),因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。
因此,为了避免这种风险发生,CA机构一般会引用中间证书。CA机构使用其私钥对中间证书进行签名,使浏览器信任中间证书。然后CA机构使用中间证书的私钥来签名用户申请的SSL证书。这种中间证书的形式可以重复多次,即使用中间证书给另一个中间证书,然后新的中间证书同样可以签署SSL证书。
这是证书链的可视化过程。从上述例子可看出,CA机构只需要使用一个中间证书就可以简单实现签名,但实际上真正的证书链通常要复杂的多。
如果证书链不完整就会导致下一级证书不受信任,所以,在安装服务器证书时,请确保你的证书链完整。如果缺少中间证书,可以参考下面的方法获取中间证书。
相关文章推荐
2024-11-25 14:34:00
2024-11-21 15:50:11
2024-11-19 14:40:48
2024-11-18 10:59:34
2024-11-15 16:58:38
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市普陀区真南路1199弄智创Top8号楼602A单元
商务合作:business@racent.com
投诉意见:media@racent.com
代理域名注册服务机构:西部数码 | 国外域名合作:TUCOWS
我的评论
还未登录?点击登录