華為云計算 云知識 什么是根證書與中間證書
什么是根證書與中間證書
時間: 2020-07-21 10:33:16
猜你想看:
實時語音識別 云服務(wù)器配置 CDN是什么意思 視頻點播加速 什么是云桌面

【熱門云產(chǎn)品免費試用活動】| 【最新活動】| 【企業(yè)應(yīng)用優(yōu)惠】

免費試用專區(qū)

瀏覽器循著證書鏈對證書進行身份驗證的操作。要獲得頒發(fā)的SSL證書,首先要生成證書簽名請求(CSR)和私鑰。最簡單的迭代,你將CSR發(fā)送給證書頒發(fā)機構(gòu),然后它使用來自其根的私鑰簽署SSL證書并將其發(fā)送回來。

現(xiàn)在,當瀏覽器看到SSL證書時,它會看到證書是由其根存儲中的一個受信任根頒發(fā)的(或者更準確地說,使用根的私鑰簽名)。因為它信任根,所以它信任根簽名的任何證書。

什么是中間證書?

證書頒發(fā)機構(gòu)不會直接從它們的根證書頒發(fā)服務(wù)器/葉子證書(最終用戶SSL證書)。這些根證書太寶貴了,直接頒發(fā)風險太大了。

因此,為了保護根證書,CAs通常會頒發(fā)所謂的中間根。CA使用它的私鑰對中間根簽名,使它受到信任。然后CA使用中間證書的私鑰簽署和頒發(fā)終端用戶SSL證書。這個過程可以執(zhí)行多次,其中一個中間根對另一個中間根進行簽名,然后CA使用該根對證書進行簽名。這些鏈接,從根到中間到葉子,都是證書鏈。

你可能會注意到,當CA頒發(fā)SSL證書時,它還會發(fā)送需要安裝的中間證書。這樣,瀏覽器就能夠完成證書鏈,并將服務(wù)器上的SSL證書鏈接回它的一個根。瀏覽器和操作系統(tǒng)處理不完整鏈的方式各不相同。有些只會在中間證書丟失時發(fā)出問題并報錯,而另一些則會保存和緩存中間證書,以防它們?nèi)蘸笈缮嫌脠觥?/p>

數(shù)字簽名的作用是什么?

數(shù)字簽名有點像數(shù)字形式的公證。當根證書對中間證書進行數(shù)字簽名時,它實際上是將部分信任轉(zhuǎn)移給中間證書。因為簽名直接來自受信任根證書的私鑰,所以它是自動受信任的。

任何時候,只要向瀏覽器或設(shè)備提供SSL證書,它就會接收證書以及與證書關(guān)聯(lián)的公鑰。它通過公鑰驗證數(shù)字簽名,并查看它是由誰生成的(即由哪個證書簽名的)。你現(xiàn)在可以開始把這些拼湊起來。當您的瀏覽器在網(wǎng)站上驗證最終用戶SSL證書時,它使用提供的公鑰來驗證簽名并在證書鏈上向上移動一個鏈接。重復(fù)這個過程:對簽名進行身份驗證,并跟蹤簽名的證書鏈,直到最終到達瀏覽器信任存儲中的一個根證書。如果它不能將證書鏈回其受信任的根,它就不會信任該證書。

根CA和中間CA有什么區(qū)別呢?

這其實很簡單。Root CA(根CA)是擁有一個或多個可信根的證書頒發(fā)機構(gòu)。這意味著它們根植于主流瀏覽器的信任存儲中。中間CAs或子CAs是由中間根發(fā)出的證書頒發(fā)機構(gòu)。它們在瀏覽器的信任存儲中沒有根,它們的中間根會鏈回到一個受信任的第三方根。這有時稱為交叉簽名。

正如我們前面討論的,CA并不直接從它們的根頒發(fā)證書。他們通過頒發(fā)中間證書并使用中間證書簽署證書,增加根證書的安全性。這有助于在發(fā)生誤發(fā)或安全事件時最小化和劃分損害,當安全事件發(fā)生時,不需要撤銷根證書,只需撤銷中間證書,使從該中間證書發(fā)出的證書組不受信任。

為便于您理解,以上是簡化了的內(nèi)容,實際過程通常復(fù)雜得多,除非您自身有所了解,否則會非常抽象。

 

更多相關(guān)文章:

1. 域名建站專場

2. 商標特惠專場

3. 云速郵箱

4. SSL證書專場

5. 全球云服務(wù)專場

6. 企業(yè)免費試用專區(qū)

7. 個人免費試用專區(qū)

8. 圖片文字識別 OCR

14. 云知識 推薦

15. 云專題 清單

16. 彈性 云服務(wù)器ECS

17. 內(nèi)容分發(fā)網(wǎng)絡(luò) CDN

18. 云硬盤 EVS

19. 對象存儲服務(wù)

什么是根證書與中間證書

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會繼續(xù)努力做到更好 反饋提交失敗!請稍后重試!