什么是 CA?
A 认证中心(CA),有时也称为 认证机构,是一家公司或组织,负责验证实体(例如网站,电子邮件地址,公司或个人)的身份,并通过发行称为“电子文件”的电子文件将其绑定到加密密钥 数字证书.
数字证书提供:
认证,作为凭证来验证颁发给该实体的实体的身份。
加密, 用于通过不安全的网络(例如Internet)进行安全通信。
诚信 文件 签 并附有证明书,以免运输中的第三方更改。
通常,数字证书的申请人会生成一个 密钥对 由一个 私钥 的网络 公钥,还有一个 证书签名请求(CSR)。 一个 CSR 是一个编码的文本文件,其中包含公钥和其他将包含在证书中的信息(例如域名,组织,电子邮件地址等)。 密钥对和 CSR 生成通常在将安装证书的服务器或工作站上完成,并且证书中包含的信息类型 CSR 根据验证级别和证书的预期用途而有所不同。 与公钥不同,申请人的私钥是安全的,永远不要向CA(或其他任何人)展示。
生成后 CSR,申请人将其发送给CA,CA会独立验证其包含的信息是否正确,如果是,则使用颁发的私钥对证书进行数字签名,然后将其发送给申请人。
当签名证书提交给第三方时(例如当该人访问证书持有者的网站时),接收者可以通过 CA 的公钥以加密方式确认 CA 的数字签名。 此外,接收者可以使用证书来确认签名内容是由拥有相应私钥的人发送的,并且信息自签名后未被更改。 证书这方面的一个关键部分是称为信任链的东西。
In SSL /TLS, S/MIME, 代码签名,以及其他应用 X.509证书,证书层次结构用于验证证书颁发者的有效性。 此层次结构称为 信任链。 在信任链中,证书由层次结构中较高级别的证书颁发和签名。
A 信任链 包括几个部分:
1。 “ 信任锚,这是原始证书颁发机构(CA)。
2. 至少一个 中级证书,用作CA和最终实体证书之间的“绝缘”。
3. 最终实体证书,用于验证诸如网站,公司或个人之类的实体的身份。
通过查看以下内容,很容易看到自己的信任链 HTTPS 网站的证书。 当你 查 SSL /TLS 通过Web浏览器中的证书,您将找到该数字证书的信任链的细目,包括信任锚,任何中间证书和最终实体证书。 这些不同的验证点由上一层或“链接”的有效性备份,返回到信任锚。
下面的示例显示了SSL.com网站的信任链,该信任链通过一个中间证书从终端实体网站证书回到根CA。
根 认证中心(CA) 作为 信任锚 在信任链中。 此信任锚的有效性对于整个链的完整性至关重要。 如果CA是 公众信任 (例如SSL.com),主要软件公司会将根CA证书包含在其浏览器和操作系统软件中。 这种包含确保了信任链中的证书可以返回到CA的任何根证书,并且该软件将被信任。
在下面,您可以从SSL.com网站(SSL.com EV Root Certification Authority RSA R2):
根CA或信任锚可以签名和签发 中级证书。 中间证书(也称为 中间, 下属或 颁发CA)提供了一种灵活的结构,可将信任锚的有效性授予链中其他中间和最终实体证书。 从这个意义上说,中间证书起着管理功能; 每个中间体都可以用于特定目的-例如颁发SSL /TLS 或代码签名证书-甚至可以用来 授予 根CA对其他组织的信任。
中间证书还提供了最终实体证书和根CA之间的缓冲区,以保护私有根密钥不受损害。 对于公共信任的CA(包括SSL.com),CA / Browser论坛的 基准要求 实际上禁止直接从根CA颁发最终实体证书,该证书必须安全地保持脱机状态。 这意味着任何公共信任证书的信任链将至少包含一个中间证书。
在下面显示的示例中, SSL.com EV SSL Intermediate CA RSA R3 是SSL.com网站的信任链中唯一的中间证书。 顾名思义,该证书仅用于颁发EV SSL /TLS 证书:
最终实体证书 是信任链中的最后一个环节。 最终实体证书(有时称为 树叶证书 or 订户证书),用于通过链中的任何中间环节将根CA的信任关系授予网站,公司, 政府或个人。
最终实体证书与信任锚或中间证书的不同之处在于,它不能颁发其他证书。 从某种意义上说,它是链条上的最终链接。 下面的示例显示了最终实体SSL /TLS SSL.com网站上的证书:
信任链可确保CA的安全性,可伸缩性和标准合规性。 它还为那些依赖最终实体证书的人(例如网站运营商和用户)确保隐私,信任和安全性。
对于网站所有者和最终实体证书的其他用户而言,重要的是要了解,完整的信任链对于其证书成功地授予CA信任是必要的。 有关诊断和故障排除由不完整的信任链导致的浏览器错误的信息,请参阅 我们有关安装中间证书的文章 和 浏览器错误消息指南.
