Web Analytics

Vad är en certifikatutfärdare (CA)?

Vad är en CA?

Vad är en certifikatutfärdare (CA)?

A certifikatutfärdare (CA), även ibland kallad en certifieringsmyndighet, är ett företag eller organisation som agerar för att validera enheternas identiteter (som webbplatser, e-postadresser, företag eller enskilda personer) och binder dem till kryptografiska nycklar genom utfärdande av elektroniska dokument kända som digitala certifikat.

Ett digitalt certifikat ger:
Autentisering, genom att tjäna som referens för att validera identiteten för den enhet som den utfärdas till.
kryptering, för säker kommunikation över osäkra nätverk som Internet.
Integritet dokument signerad med certifikatet så att de inte kan ändras av en tredje part i transit.

Behöver du ett certifikat? SSL.com har du täckt. Jämför alternativ här att hitta rätt val för dig, från S/MIME och kodsigneringscertifikat och mer.

BESTÄLL NU

Hur validerar en certifikatutfärdare ett certifikat?

Vanligtvis genererar en sökande för ett digitalt certifikat en nyckelpar en konsekvent en privat nyckel och en offentlig nyckel, tillsammans med en certifikatsigneringsbegäran (CSR). En CSR är en kodad textfil som innehåller den allmänna nyckeln och annan information som kommer att inkluderas i certifikatet (t.ex. domännamn, organisation, e-postadress etc.). Nyckelpar och CSR generering sker vanligtvis på servern eller arbetsstationen där certifikatet kommer att installeras, och vilken typ av information som ingår i CSR varierar beroende på valideringsnivån och avsedd användning av certifikatet. Till skillnad från den offentliga nyckeln hålls sökandens privata nyckel säker och ska aldrig visas för CA (eller någon annan).

Efter att ha genererat CSR, skickar den sökande till en CA, som oberoende verifierar att informationen som den innehåller är korrekt och, i så fall, digitalt undertecknar certifikatet med en utfärdande privat nyckel och skickar den till den sökande.

När det signerade certifikatet presenteras för en tredje part (som när den personen går in på certifikatinnehavarens webbplats), kan mottagaren kryptografiskt bekräfta CA:s digitala signatur via CA:s publika nyckel. Dessutom kan mottagaren använda certifikatet för att bekräfta att signerat innehåll skickades av någon som innehar motsvarande privata nyckel och att informationen inte har ändrats sedan den signerades. En viktig del av denna aspekt av certifikatet är något som kallas en kedja av förtroende.

Vad är en kedja av förtroende?

In SSL /TLS, S/MIME, kodsigneringoch andra tillämpningar av X.509 certifikat, används en hierarki med certifikat för att verifiera giltigheten för certifikatets utfärdare. Denna hierarki kallas en förtroendekedja. I en förtroendekedja utfärdas och undertecknas certifikat av certifikat som lever högre upp i hierarkin.

A förtroendekedja består av flera delar:

1. Den förtroendeankare, som är den ursprungliga certifikatutfärdaren (CA).
2. Minst en mellanintyg, fungerar som "isolering" mellan CA och slutenhetscertifikatet.
3. Den slutföretagscertifikat, som används för att validera en identitets identitet som en webbplats, företag eller person.

Det är lätt att se en kedja av förtroende för dig själv genom att inspektera en HTTPS webbplatsens certifikat. När du ta en SSL /TLS certifikat i en webbläsare hittar du en uppdelning av det digitala certifikatets förtroendekedja, inklusive förtroendeankaren, eventuella mellanliggande certifikat och slutenhetscertifikatet. Dessa olika verifieringspunkter backas upp av giltigheten för det tidigare lagret eller "länken", som går tillbaka till förtroendeankaren.

Exemplet nedan visar förtroendekedjan från SSL.coms webbplats, som leder från slutcentralens webbplatscertifikat tillbaka till root CA, via ett mellanliggande certifikat:



slutföretagscertifikat

Vad är ett förtroendeankare?

Roten certifikatutfärdare (CA) fungerar som förtroendeankare i en kedja av förtroende. Giltigheten av detta förtroendeankare är avgörande för kedjan som helhet. Om CA är det offentligt betrodda (som SSL.com) ingår root-CA-certifikat av stora programvaruföretag i deras webbläsare och operativsystem. Denna inkludering säkerställer att certifikat i en kedja av förtroende som leder tillbaka till något av CA: s rotcertifikat kommer att lita på av programvaran.

Nedan kan du se förtroendeankaren från SSL.coms webbplats (SSL.com EV Root Certification Authority RSA R2):

förtroendeankare

Vad är ett mellancertifikat?

Rot CA eller förtroendeankronet har förmågan att signera och utfärda mellanliggande certifikat. Mellancertifikat (även känd som mellanliggande, underlydande, eller emitterar CA) tillhandahålla en flexibel struktur för att överlåta giltigheten av förtroendeankaren till ytterligare mellanliggande och slutenhetscertifikat i kedjan. I den meningen tjänar mellanliggande certifikat en administrativ funktion; varje mellanprodukt kan användas för ett specifikt syfte - som att utfärda SSL /TLS eller kodsigneringscertifikat - och kan till och med användas tilldela root CA: s förtroende för andra organisationer.

Mellanliggande certifikat ger också en buffert mellan slutenhetscertifikatet och rotcertifikatet, vilket skyddar den privata rotnyckeln från kompromiss. För offentligt betrodda CA (inklusive SSL.com), CA / webbläsarforum Baslinjekrav faktiskt förbjuda utfärdande av slutenhetscertifikat direkt från rot-CA, som måste hållas säkert offline. Detta innebär att alla offentligt betrodda certifikatets förtroendekedja kommer att innehålla minst ett mellanliggande certifikat.

I exemplet som visas nedan SSL.com EV SSL Intermediate CA RSA R3 är det enda mellancertifikatet i SSL.com-webbplatsens förtroendekedja. Som certifikatets namn antyder används det bara för att utfärda EV SSL /TLS certifikat:

mellanintyg

Vad är ett slutföretagscertifikat?

Smakämnen slutföretagscertifikat är den sista länken i kedjan av förtroende. Slutenhetscertifikatet (ibland känt som en bladcertifikat or abonnentintyg), tjänar till att tilldela root CA: s förtroende, via alla mellanprodukter i kedjan, till en enhet som en webbplats, ett företag, Regeringen, eller enskild person.

Ett slutenhetscertifikat skiljer sig från ett förtroendeankare eller mellancertifikat genom att det inte kan utfärda ytterligare certifikat. Det är på sätt och vis den sista länken vad gäller kedjan. Exemplet nedan visar slutenheten SSL /TLS certifikat från SSL.coms webbplats:

slutföretagscertifikat

Varför spelar en kedja av förtroende roll?

En kedja av förtroende säkerställer säkerhet, skalbarhet och standarder för CAs. Det säkerställer också integritet, förtroende och säkerhet för dem som litar på certifikat för slutföretag, t.ex. webbplatsoperatörer och användare.

Det är viktigt för webbplatsägare och andra användare av slutenhetscertifikat att förstå att en fullständig kedja av förtroende är nödvändig för att deras certifikat ska ge ett CA: s förtroende framgångsrikt. För information om diagnostisering och felsökning av webbläsarfel som uppstår till följd av en ofullständig förtroendekedja, se vår artikel om installation av mellanliggande certifikat samt guide till webbläsarfelmeddelanden.

 

Notera: Även om alla organisationer, som en företagsavdelning eller en statlig myndighet, kan driva en CA, kan kommersiella CA som SSL.com tillhandahålla offentligt betrodda certifikat för ändamål som HTTPS-webbplatser, S/MIME e-post, och kod- och dokumentsignering, utan besväret med att behöva upprätthålla allmänhetens förtroende och en granskad PKI. SSL.com tillhandahåller värd PKI med allmän eller privat förtroende för både företag samt Regeringen kunder.
Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.

 

 

SSL.com supportteam

Författare - innehållsadministratör
Alla inlägg

Relaterade vanliga frågor

Visa alla vanliga frågor

Följ oss

Facebook Twitter youtube Github

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com