當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

關(guān)于根證書與中間證書你該知道……

 2019-10-23 15:44  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  阿里云優(yōu)惠券 先領(lǐng)券再下單

什么是根證書?什么是中間證書?提到這些,相信即使是獲取并安裝了SSL證書的人也會(huì)一臉懵。

首先向您提一個(gè)問題:您的瀏覽器如何知道是否應(yīng)該信任網(wǎng)站的SSL證書? 受信任的根的任何下級(jí)證書都是受信任的。這在技術(shù)層面上是如何工作的呢?

當(dāng)你訪問一個(gè)網(wǎng)站時(shí),瀏覽器會(huì)查看它的SSL證書,并快速的驗(yàn)證證書的真實(shí)性。瀏覽器會(huì)檢查證書的有效期、確保證書沒有被撤銷、驗(yàn)證證書的數(shù)字簽名。

瀏覽器循著證書鏈對(duì)證書進(jìn)行身份驗(yàn)證的操作。要獲得頒發(fā)的SSL證書,首先要生成證書簽名請(qǐng)求(CSR)和私鑰。最簡(jiǎn)單的迭代,你將CSR發(fā)送給證書頒發(fā)機(jī)構(gòu),然后它使用來自其根的私鑰簽署SSL證書并將其發(fā)送回來。

現(xiàn)在,當(dāng)瀏覽器看到SSL證書時(shí),它會(huì)看到證書是由其根存儲(chǔ)中的一個(gè)受信任根頒發(fā)的(或者更準(zhǔn)確地說,使用根的私鑰簽名)。因?yàn)樗湃胃?所以它信任根簽名的任何證書。

什么是中間證書?

證書頒發(fā)機(jī)構(gòu)不會(huì)直接從它們的根證書頒發(fā)服務(wù)器/葉子證書(最終用戶SSL證書)。這些根證書太寶貴了,直接頒發(fā)風(fēng)險(xiǎn)太大了。

因此,為了保護(hù)根證書,CAs通常會(huì)頒發(fā)所謂的中間根。CA使用它的私鑰對(duì)中間根簽名,使它受到信任。然后CA使用中間證書的私鑰簽署和頒發(fā)終端用戶SSL證書。這個(gè)過程可以執(zhí)行多次,其中一個(gè)中間根對(duì)另一個(gè)中間根進(jìn)行簽名,然后CA使用該根對(duì)證書進(jìn)行簽名。這些鏈接,從根到中間到葉子,都是證書鏈。

你可能會(huì)注意到,當(dāng)CA頒發(fā)SSL證書時(shí),它還會(huì)發(fā)送需要安裝的中間證書。這樣,瀏覽器就能夠完成證書鏈,并將服務(wù)器上的SSL證書鏈接回它的一個(gè)根。天威誠(chéng)信表示瀏覽器和操作系統(tǒng)處理不完整鏈的方式各不相同。有些只會(huì)在中間證書丟失時(shí)發(fā)出問題并報(bào)錯(cuò),而另一些則會(huì)保存和緩存中間證書,以防它們?nèi)蘸笈缮嫌脠?chǎng)。

數(shù)字簽名的作用是什么?

數(shù)字簽名有點(diǎn)像數(shù)字形式的公證。當(dāng)根證書對(duì)中間證書進(jìn)行數(shù)字簽名時(shí),它實(shí)際上是將部分信任轉(zhuǎn)移給中間證書。因?yàn)楹灻苯觼碜允苄湃胃C書的私鑰,所以它是自動(dòng)受信任的。

任何時(shí)候,只要向?yàn)g覽器或設(shè)備提供SSL證書,它就會(huì)接收證書以及與證書關(guān)聯(lián)的公鑰。它通過公鑰驗(yàn)證數(shù)字簽名,并查看它是由誰生成的(即由哪個(gè)證書簽名的)。你現(xiàn)在可以開始把這些拼湊起來。當(dāng)您的瀏覽器在網(wǎng)站上驗(yàn)證最終用戶SSL證書時(shí),它使用提供的公鑰來驗(yàn)證簽名并在證書鏈上向上移動(dòng)一個(gè)鏈接。重復(fù)這個(gè)過程:對(duì)簽名進(jìn)行身份驗(yàn)證,并跟蹤簽名的證書鏈,直到最終到達(dá)瀏覽器信任存儲(chǔ)中的一個(gè)根證書。如果它不能將證書鏈回其受信任的根,它就不會(huì)信任該證書。

根CA和中間CA有什么區(qū)別呢?

這其實(shí)很簡(jiǎn)單。Root CA(根CA)是擁有一個(gè)或多個(gè)可信根的證書頒發(fā)機(jī)構(gòu)。這意味著它們根植于主流瀏覽器的信任存儲(chǔ)中。中間CAs或子CAs是由中間根發(fā)出的證書頒發(fā)機(jī)構(gòu)。 它們?cè)跒g覽器的信任存儲(chǔ)中沒有根,它們的中間根會(huì)鏈回到一個(gè)受信任的第三方根。這有時(shí)稱為交叉簽名。

正如我們前面討論的,CA并不直接從它們的根頒發(fā)證書。他們通過頒發(fā)中間證書并使用中間證書簽署證書,增加根證書的安全性。這有助于在發(fā)生誤發(fā)或安全事件時(shí)最小化和劃分損害,當(dāng)安全事件發(fā)生時(shí),不需要撤銷根證書,只需撤銷中間證書,使從該中間證書發(fā)出的證書組不受信任。

為便于您理解,以上是簡(jiǎn)化了的內(nèi)容,實(shí)際過程通常復(fù)雜得多,除非您自身有所了解,否則會(huì)非常抽象。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
ssl證書

相關(guān)文章

  • ssl證書不可信怎么解決

    SSL證書不可信的問題在網(wǎng)絡(luò)安全中是一個(gè)常見但重要的問題。為了解決這一問題,需要從多個(gè)角度進(jìn)行綜合分析和處理。以下是一些常見的原因及相應(yīng)的解決方法,rak小編為您整理發(fā)布ssl證書不可信怎么解決。

    標(biāo)簽:
    ssl證書

  • ssl證書如何安裝到服務(wù)器

    安裝SSL證書到服務(wù)器需要通過幾個(gè)關(guān)鍵步驟:登錄SSL證書控制臺(tái)下載證書,生成并提交證書請(qǐng)求文件(CSR),將證書上傳至服務(wù)器,并在服務(wù)器配置文件中啟用SSL,最后重啟服務(wù)器并測(cè)試證書的有效性。Rak小編為您整理發(fā)布ssl證書如何安裝到服務(wù)器。

    標(biāo)簽:
    ssl證書

  • ssl證書有什么作用

    SSL證書的主要作用是確保網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩院万?yàn)證服務(wù)器身份。在互聯(lián)網(wǎng)的世界中,SSL證書發(fā)揮著重要的角色,它不僅保護(hù)數(shù)據(jù)的安全傳輸,還確立了用戶與網(wǎng)站間的信任關(guān)系。SSL證書為互聯(lián)網(wǎng)通信提供了一層必要的安全屏障,使得在線交易和傳輸敏感信息成為可能。Rak小編為您整理發(fā)布ssl證書有什么作用。

    標(biāo)簽:
    ssl證書

  • 阿里云2024最新優(yōu)惠:WoSignSSL證書首購(gòu)4折

    阿里云SSL證書2024最新優(yōu)惠來啦!即日起至2024年3月31日,阿里云SSL證書新用戶,購(gòu)買wosignSSL證書低至4折,WoSignSSL提供全球信任RSASSL證書和國(guó)密算法SM2SSL證書!阿里云官網(wǎng)官方優(yōu)惠,需要開年采購(gòu)SSL證書的用戶抓緊申請(qǐng)這波優(yōu)惠!一、阿里云WoSignSSL證書

    標(biāo)簽:
    ssl證書

  • 阿里云SSL證書優(yōu)惠,WoSign國(guó)密RSA雙證書首購(gòu)4折

    阿里云2023雙11“金秋云創(chuàng)季”活動(dòng)盛大開啟!2023年11月01日至11月31日,阿里云平臺(tái)WoSignSSL證書“國(guó)密/RSA雙證書解決方案”首購(gòu)4折優(yōu)惠!驚喜折扣、限時(shí)福利,機(jī)會(huì)不容錯(cuò)過!作為阿里云一年一度最盛大的優(yōu)惠促銷活動(dòng),2023雙11“金秋云創(chuàng)季”推出百余款活動(dòng)產(chǎn)品,優(yōu)惠力度空前。W

    標(biāo)簽:
    ssl證書
加載更多

熱門排行

信息推薦