en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

什么是信任链?

用法律术语来说, 监管链 是一种确保安全,合法性并仅知道敏感信息在何处和与谁接触(以及谁可以访问)的方法。 在世界上的 数字证书,以 信任链 其功能有些相似,但具有相同的意图:形成从信任锚到最终实体证书的验证和验证链接路径。

A 信任链 包括几个部分:

  1. A 信任锚,这是原始证书颁发机构(CA)。
  2. 最后一个 中级证书,用作CA和最终实体证书之间的“绝缘”。
  3. 最终实体证书,用于验证诸如网站,公司或个人之类的实体的身份。

通过该介绍,让我们进一步了解信任链:

 

什么是信任链?

In SSL /TLS, S/MIME, 代码签名,以及其他应用 X.509证书,证书层次结构用于验证证书颁发者的有效性。 此层次结构称为 信任链。 在信任链中,证书由层次结构中较高级别的证书颁发和签名。

通过查看以下内容,很容易看到自己的信任链 HTTPS 网站的证书。 当你 SSL /TLS 通过Web浏览器中的证书,您将找到该数字证书的信任链的细目,包括信任锚,任何中间证书和最终实体证书。 这些不同的验证点由上一层或“链接”的有效性备份,返回到信任锚。

下面的示例显示了SSL.com网站的信任链,该信任链通过一个中间证书从终端实体网站证书回到根CA。

SSL.com信任链

什么是信任锚?

认证中心(CA) 作为 信任锚 在信任链中。 此信任锚的有效性对于整个链的完整性至关重要。 如果CA是 公众信任 (例如SSL.com),主要软件公司会将根CA证书包含在其浏览器和操作系统软件中。 这种包含确保了信任链中的证书可以返回到CA的任何根证书,并且该软件将被信任。

在下面,您可以从SSL.com网站(SSL.com EV Root Certification Authority RSA R2):

信任锚

什么是中间证书?

根CA或信任锚可以签名和签发 中级证书。 中间证书(也称为 中间, 下属颁发CA)提供了一种灵活的结构,可将信任锚的有效性授予链中其他中间和最终实体证书。 从这个意义上说,中间证书起着管理功能; 每个中间体都可以用于特定目的-例如颁发SSL /TLS 或代码签名证书-甚至可以用来 授予 根CA对其他组织的信任。

中间证书还提供了最终实体证书和根CA之间的缓冲区,以保护私有根密钥不受损害。 对于公共信任的CA(包括SSL.com),CA / Browser论坛的 基准要求 实际上禁止直接从根CA颁发最终实体证书,该证书必须安全地保持脱机状态。 这意味着任何公共信任证书的信任链将至少包含一个中间证书。

在下面显示的示例中, SSL.com EV SSL Intermediate CA RSA R3 是SSL.com网站的信任链中唯一的中间证书。 顾名思义,该证书仅用于颁发EV SSL /TLS 证书:

中级证书

什么是最终实体证书?

最终实体证书 是信任链中的最后一个环节。 最终实体证书(有时称为 树叶证书 or 订户证书),用于通过链中的任何中间环节将根CA的信任关系授予网站,公司, 政府或个人。

最终实体证书与信任锚或中间证书的不同之处在于,它不能颁发其他证书。 从某种意义上说,它是链条上的最终链接。 下面的示例显示了最终实体SSL /TLS SSL.com网站上的证书:

最终实体证书

为什么信任链很重要?

信任链可确保CA的安全性,可伸缩性和标准合规性。 它还为那些依赖最终实体证书的人(例如网站运营商和用户)确保隐私,信任和安全性。

对于网站所有者和最终实体证书的其他用户而言,重要的是要了解,完整的信任链对于其证书成功地授予CA信任是必要的。 有关诊断和故障排除由不完整的信任链导致的浏览器错误的信息,请参阅 我们有关安装中间证书的文章 以及 浏览器错误消息指南.

相关常见问题

可通过以下方式关注我们

什么是SSL /TLS?

播放视频

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新