但 CA 到底是做什么的呢?他们如何在网上建立信任?本指南将帮助回答这些问题。
证书颁发机构的作用是什么?
A 证书颁发机构 是一家公司或组织,其行为是验证实体(例如网站、电子邮件地址、公司或个人)的身份,并通过发布电子文档(称为 数字证书.
数字证书提供:
-
身份验证,通过充当凭证来验证其颁发给的实体的身份。
-
加密,用于通过不安全网络(例如互联网)进行安全通信。
-
文件的完整性 签 与证书一起,以便第三方在运输过程中无法更改。
这些c证书允许通过公钥加密技术在两方之间进行安全、加密的通信。 CA 验证证书申请人的身份并颁发包含其公钥的证书。 然后,CA 将使用自己的私钥对颁发的证书进行数字签名,从而建立对证书有效性的信任。
SSL.com 等 CA 将其根证书嵌入到操作系统、浏览器和其他应用程序(如文档签名证书中的 Adobe 产品)中。这允许他们发布 SSL/TLS 网站证书、电子邮件证书、代码签名证书等。然后,依赖方可以信任链接到这些根 CA 的证书。
使用 SSL.com 高度可信的 SSL 保护您的网站/TLS 证书。 获取免费报价 域验证、组织验证或扩展验证证书。
CA 如何验证和颁发证书?
当向CA请求证书时,申请人首先生成公钥和私钥对。私钥应由申请人单独控制和拥有。然而,在某些情况下,私钥可能会生成并安全地存储在由颁发 CA 控制的硬件安全模块 (HSM) 中。
然后申请人发送证书签名请求(CSR)通过在线表格向 CA 提供其公钥和其他身份详细信息。
接着,将 CA 将采取措施验证申请人的身份以及索取凭证的权利,例如服务器证书的域名或电子邮件证书的电子邮件地址 CSR。此过程因证书类型和验证级别而异。 例如,要颁发OV或EV SSL证书,CA将要求申请人提供商业文件以及身份和域名所有权的身份验证。
如果验证成功,CA 会颁发包含详细信息和公钥的证书 CSR。 CA 使用自己的私钥对颁发的证书进行数字签名,以确认他们验证了身份。
CA颁发的证书有什么用?
根据证书类型的不同,证书的使用方式也不同:
-
对于 TLS/SSL 证书,申请人在其 Web 服务器上安装证书以启用 HTTPS 并加密通信。私钥仍然安全地存储在服务器上。
-
对于代码签名证书,私钥用于对软件、可执行文件、脚本等进行数字签名。
-
S/MIME 电子邮件安全证书安装在电子邮件客户端中,用于加密、签名或验证电子邮件。
-
客户端身份验证证书安装在设备或用户的系统上,以向服务器或应用程序验证其身份。
-
文档签名证书安装在文档签名应用程序中,用于将经过认证的数字签名应用于电子文档。
正确使用私钥对于每种证书类型和用途至关重要。
数字证书包含什么内容?
数字证书是一种通过 CA 签名将身份与加密密钥对绑定的电子文档。
证书可能包含以下信息:
-
网站域名
-
电子邮件地址
-
企业或个人身份
-
用于启用加密的公钥
-
颁发 CA 详细信息
-
有效期
-
证书序列号
-
签名防止篡改
通过颁发证书,CA 声明其中包含的公钥属于所列出的身份。
相应的私钥由申请人保密。公钥和私钥对允许通过 SSL/TLS 和其他协议。
CA 如何帮助建立信任?
要使颁发的证书可信,颁发 CA 必须可信。 CA 通过证书链建立信任。
证书链通过中间颁发 CA 将您的最终实体证书链接回受信任的根 CA 证书:
-
受信任的根 CA 证书(信任锚)
-
root颁发的中间CA证书
-
向申请人颁发最终实体证书
浏览器、设备、操作系统和应用程序均预装了来自受信任机构(例如 。通过沿链扩展信任,SSL.com 可以颁发可信证书。
证书链允许以可扩展、安全的方式扩展信任。链条中的每个环节都可以追溯到可信的锚点。 如果链中的任何链接丢失或不受信任,客户端在访问安装了该证书的站点时将会看到错误。一条合适的链条是必不可少的。
SSL.com 是否提供可信证书?
是颁发不同类型可信数字证书的证书颁发机构,包括:
-
SSL /TLS 使用 HTTPS 保护网站的证书
-
S/MIME 用于保护电子邮件安全的证书
-
用于验证软件的代码签名证书
-
用于验证设备/用户身份的客户端证书
-
用于证明电子文档完整性的文档签名证书
SSL.com 颁发的根证书和中间证书默认嵌入在所有主要 Web 浏览器和操作系统中。这使得 SSL.com 能够向网站和组织出售受信任的证书。
SSL.com 还提供类似的服务 ,它允许公司构建自己的私有内部 CA,与 SSL.com 的公共信任相集成。
总结
总而言之,CA 通过颁发、验证和管理数字证书构成了在线信任的支柱。虽然内部很复杂,但它们通过以下方式实现安全加密连接 公钥基础结构(PKI).
