手机端下拉列表

博客 > 根证书和中间证书的那些事儿

根证书和中间证书的那些事儿

  • 标签:
  • 根证书
  • 中间证书
  • 证书链
  • SSL证书
  • 服务器证书

浏览量:1149次评论:0次

作者:Anita时间:2022-06-29 15:23:12

根证书是什么?中间证书又是什么?他们与SSL证书有什么关系?为了更清楚的了解根证书和中间证书,我们将从证书定义、根证书与中间证书的区别以及如何查找中间证书几方面为你解读!


根证书与中间证书的区别

什么是根证书?

根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。每个浏览器都有根证书库,有的浏览器是采用自主的根证书库,而一些浏览器则使用第三方的根证书库。根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书。

受信任的根证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。

什么是证书链?

那么,浏览器是如何鉴定信任网站的SSL证书?其实,当客户端访问服务器时,浏览器会查看SSL证书并快速验证SSL证书的真实性。浏览器对SSL证书身份验证流程是根据证书链的内容而操作的。那么证书链是什么?

用户在获取SSL证书之前,首先要生成证书签名请求(CSR)和私钥。在最简单的迭代中,用户将生成的CSR提交到证书颁发机构,然后使用CA机构的根证书的私钥对用户的SSL证书签名,并将SSL证书颁发给用户。

在证书链中,通常分为三级结构,根证书、中间证书和服务器证书。在正常的证书链顺序中服务器证书处于最低端,该证书包含了服务器域名,服务器公钥和签名值等。在其上一级则是中间证书,也就是由权威CA机构授权的二级机构,用来签发服务器证书。最上级就是根证书,也就是CA机构,对服务器身份进行校验时,需要验证整个证书链,由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器证书的签名值是否正确,从而构成一条信任链。如下图所示:


什么是中间证书?

CA机构不会直接使用根证书签发服务器证书(即SSL证书),因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。

因此,为了避免这种风险发生,CA机构一般会引用中间证书。CA机构使用其私钥对中间证书进行签名,使浏览器信任中间证书。然后CA机构使用中间证书的私钥来签名用户申请的SSL证书。这种中间证书的形式可以重复多次,即使用中间证书给另一个中间证书,然后新的中间证书同样可以签署SSL证书。

这是证书链的可视化过程。从上述例子可看出,CA机构只需要使用一个中间证书就可以简单实现签名,但实际上真正的证书链通常要复杂的多。

如果证书链不完整就会导致下一级证书不受信任,所以,在安装服务器证书时,请确保你的证书链完整。如果缺少中间证书,可以参考下面的方法获取中间证书。

如何获取中间证书?

1、邮件中包含中间证书:

通常CA在颁发证书时会将中间证书一同发送到您申请时填写的邮箱,比如:如果您收到的Sectigo证书文件,它包含下方五个部分,如下图:

2、使用SSL证书链下载工具:

如果您收到的邮件中不包含中间证书,或者由于时间久远中间证书文件遗失,不要着急,你还可以通过一些工具来下载中间证书,比如:证书链下载工具。

将获取的中间证书导入到服务器上就可以验证SSL证书的有效性和真实性,从而获得浏览器的信任,实现客户端和服务器端的HTTPS通信。

导入中间证书流程可参考此指南。

我的评论

还未登录?点击登录

售前咨询
合作
售后
return head