en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

什么是证书颁发机构(CA)?

什么是 CA?

什么是证书颁发机构(CA)?

A 认证中心(CA),有时也称为 认证机构,是一家公司或组织,负责验证实体(例如网站,电子邮件地址,公司或个人)的身份,并通过发行称为“电子文件”的电子文件将其绑定到加密密钥 数字证书.

数字证书提供:
认证,作为凭证来验证颁发给该实体的实体的身份。
加密, 用于通过不安全的网络(例如Internet)进行安全通信。
诚信 文件  并附有证明书,以免运输中的第三方更改。

需要证书吗? SSL.com已覆盖您。 在这里比较选项 从中找到适合您的选择 S/MIME 以及代码签名证书等等。

马上订购

证书颁发机构如何验证证书?

通常,数字证书的申请人会生成一个 密钥对 由一个 私钥 的网络 公钥,还有一个 证书签名请求(CSR)。 一个 CSR 是一个编码的文本文件,其中包含公钥和其他将包含在证书中的信息(例如域名,组织,电子邮件地址等)。 密钥对和 CSR 生成通常在将安装证书的服务器或工作站上完成,并且证书中包含的信息类型 CSR 根据验证级别和证书的预期用途而有所不同。 与公钥不同,申请人的私钥是安全的,永远不要向CA(或其他任何人)展示。

生成后 CSR,申请人将其发送给CA,CA会独立验证其包含的信息是否正确,如果是,则使用颁发的私钥对证书进行数字签名,然后将其发送给申请人。

当签名证书提交给第三方时(例如当该人访问证书持有者的网站时),接收者可以通过 CA 的公钥以加密方式确认 CA 的数字签名。 此外,接收者可以使用证书来确认签名内容是由拥有相应私钥的人发送的,并且信息自签名后未被更改。 证书这方面的一个关键部分是称为信任链的东西。

什么是信任链?

In SSL /TLS, S/MIME, 代码签名,以及其他应用 X.509证书,证书层次结构用于验证证书颁发者的有效性。 此层次结构称为 信任链。 在信任链中,证书由层次结构中较高级别的证书颁发和签名。

A 信任链 包括几个部分:

1。 “ 信任锚,这是原始证书颁发机构(CA)。
2. 至少一个 中级证书,用作CA和最终实体证书之间的“绝缘”。
3。 “ 最终实体证书,用于验证诸如网站,公司或个人之类的实体的身份。

通过查看以下内容,很容易看到自己的信任链 HTTPS 网站的证书。 当你 SSL /TLS 通过Web浏览器中的证书,您将找到该数字证书的信任链的细目,包括信任锚,任何中间证书和最终实体证书。 这些不同的验证点由上一层或“链接”的有效性备份,返回到信任锚。

下面的示例显示了SSL.com网站的信任链,该信任链通过一个中间证书从终端实体网站证书回到根CA。



最终实体证书

什么是信任锚?

认证中心(CA) 作为 信任锚 在信任链中。 此信任锚的有效性对于整个链的完整性至关重要。 如果CA是 公众信任 (例如SSL.com),主要软件公司会将根CA证书包含在其浏览器和操作系统软件中。 这种包含确保了信任链中的证书可以返回到CA的任何根证书,并且该软件将被信任。

在下面,您可以从SSL.com网站(SSL.com EV Root Certification Authority RSA R2):

信任锚

什么是中间证书?

根CA或信任锚可以签名和签发 中级证书。 中间证书(也称为 中间, 下属颁发CA)提供了一种灵活的结构,可将信任锚的有效性授予链中其他中间和最终实体证书。 从这个意义上说,中间证书起着管理功能; 每个中间体都可以用于特定目的-例如颁发SSL /TLS 或代码签名证书-甚至可以用来 授予 根CA对其他组织的信任。

中间证书还提供了最终实体证书和根CA之间的缓冲区,以保护私有根密钥不受损害。 对于公共信任的CA(包括SSL.com),CA / Browser论坛的 基准要求 实际上禁止直接从根CA颁发最终实体证书,该证书必须安全地保持脱机状态。 这意味着任何公共信任证书的信任链将至少包含一个中间证书。

在下面显示的示例中, SSL.com EV SSL Intermediate CA RSA R3 是SSL.com网站的信任链中唯一的中间证书。 顾名思义,该证书仅用于颁发EV SSL /TLS 证书:

中级证书

什么是最终实体证书?

CSZ 最终实体证书 是信任链中的最后一个环节。 最终实体证书(有时称为 树叶证书 or 订户证书),用于通过链中的任何中间环节将根CA的信任关系授予网站,公司, 政府或个人。

最终实体证书与信任锚或中间证书的不同之处在于,它不能颁发其他证书。 从某种意义上说,它是链条上的最终链接。 下面的示例显示了最终实体SSL /TLS SSL.com网站上的证书:

最终实体证书

为什么信任链很重要?

信任链可确保CA的安全性,可伸缩性和标准合规性。 它还为那些依赖最终实体证书的人(例如网站运营商和用户)确保隐私,信任和安全性。

对于网站所有者和最终实体证书的其他用户而言,重要的是要了解,完整的信任链对于其证书成功地授予CA信任是必要的。 有关诊断和故障排除由不完整的信任链导致的浏览器错误的信息,请参阅 我们有关安装中间证书的文章浏览器错误消息指南.

 

请注意: 尽管任何组织(例如公司部门或政府机构)都可以运营CA,但是SSL.com之类的商业CA可以出于诸如HTTPS网站, S/MIME 电子邮件,代码和文档签名,而无需维护公众信任和经过审核的麻烦 PKI。 SSL.com提供 托管 PKI公共或私人信托商科政府 客户。
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。

 

 

相关常见问题

关注我们的媒体平台

什么是SSL /TLS?

播放视频

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新