问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

根证书是什么?

发布网友 发布时间:2022-04-22 06:28

我来回答

1个回答

热心网友 时间:2023-10-02 07:38

让我们花几分钟时间讨论一下中间证书和根CA证书。SSL(或者更准确地说,TLS)是一项大多数终端用户知之甚少甚至一无所知的技术。即使是获取了SSL证书的人通常也只知道他们需要SSL证书,而且他们必须在服务器上安装SSL证书,才能通过HTTPS为网站提供服务。当提到中间证书和CAs、根证书和CAs时,大多数人的目光开始变得呆滞。

在进一步讨论之前,我们需要先引入证书链的概念。提一个问题:您的浏览器如何知道是否应该信任网站的SSL证书? 受信任的根的任何下级证书都是受信任的。这在技术层面上是如何工作的呢?

当你访问一个网站时,浏览器会查看它的SSL证书,并快速的验证证书的真实性。浏览器会检查证书的有效期、确保证书没有被撤销、验证证书的数字签名。

浏览器循着证书链对证书进行身份验证的操作。要获得颁发的SSL证书,首先要生成证书签名请求(CSR)和私钥。最简单的迭代,你将CSR发送给证书颁发机构,然后它使用来自其根的私钥签署SSL证书并将其发送回来。

现在,当浏览器看到SSL证书时,它会看到证书是由其根存储中的一个受信任根颁发的(或者更准确地说,使用根的私钥签名)。因为它信任根,所以它信任根签名的任何证书。为了使你更容易理解,上述内容我们作了简化,将服务器证书直接链到根。现在加入中间证书。

证书颁发机构不会直接从它们的根证书颁发服务器/叶子证书(最终用户SSL证书)。这些根证书太宝贵了,直接颁发风险太大了。

因此,为了保护根证书,CAs通常会颁发所谓的中间根。CA使用它的私钥对中间根签名,使它受到信任。然后CA使用中间证书的私钥签署和颁发终端用户SSL证书。这个过程可以执行多次,其中一个中间根对另一个中间根进行签名,然后CA使用该根对证书进行签名。这些链接,从根到中间到叶子,都是证书链。下面是证书链的可视化图形,为了便于理解,简化复杂的过程,我们只在证书链中加入一个中间证书,实际的证书链通常要复杂得多。

你可能会注意到,当CA颁发SSL证书时,它还会发送需要安装的中间证书。这样,浏览器就能够完成证书链,并将服务器上的SSL证书链接回它的一个根。浏览器和操作系统处理不完整链的方式各不相同。有些只会在中间证书丢失时发出问题并报错,而另一些则会保存和缓存中间证书,以防它们日后派上用场。

数字签名有点像数字形式的公证。当根证书对中间证书进行数字签名时,它实际上是将部分信任转移给中间证书。因为签名直接来自受信任根证书的私钥,所以它是自动受信任的。

任何时候,只要向浏览器或设备提供SSL证书,它就会接收证书以及与证书关联的公钥。它通过公钥验证数字签名,并查看它是由谁生成的(即由哪个证书签名的)。你现在可以开始把这些拼凑起来。当您的浏览器在网站上验证最终用户SSL证书时,它使用提供的公钥来验证签名并在证书链上向上移动一个链接。重复这个过程:对签名进行身份验证,并跟踪签名的证书链,直到最终到达浏览器信任存储中的一个根证书。如果它不能将证书链回其受信任的根,它就不会信任该证书。

这其实很简单。Root CA(根CA)是拥有一个或多个可信根的证书颁发机构。这意味着它们根植于主流浏览器的信任存储中。中间CAs或子CAs是由中间根发出的证书颁发机构。 它们在浏览器的信任存储中没有根,它们的中间根会链回到一个受信任的第三方根。这有时称为交叉签名。

正如我们前面讨论的,CA并不直接从它们的根颁发证书。他们通过颁发中间证书并使用中间证书签署证书,增加根证书的安全性。这有助于在发生误发或安全事件时最小化和划分损害,当安全事件发生时,不需要撤销根证书,只需撤销中间证书,使从该中间证书发出的证书组不受信任。

我们刚描述了根和中间体,涉及到证书颁发机构、证书链和加密签名的信任模型,本质上归结到一个词:PKI或公钥基础设施。到目前为止,我一直避免过多地使用这个术语,除非你深入了解一些细节,否则它看起来非常抽象。

文章参考自:
FreeBuf.COM
自制Https证书并在Spring Boot和Nginx中使用
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
“泛览周王传”的出处是哪里 避事的意思是什么 怠息的意思是什么 “偷闲来此一嚬呻”的出处是哪里 怠息意思和来源是什么 客厅中间沙发旁旁边放什么 客厅沙发旁边放什么合适 沙发左右摆什么位置 淘宝网无法注册邮箱验证 谁能帮我注册一个谷歌帐号,我一直注册不成功,淘宝上也买不到,在线等... 什么是根证书,根证书有什么作用 根证书是什么东西?为什么必须安装? 根证书有什么作用? 什么是根证书?根证书能干嘛?请通俗点。谢谢。 根证书有什么作用 乌龟如何辨别公母(急) 外脆里嫩,吃完还想吃的黄金虾球在做的时候,需要... 怎样分辨雌雄乌龟 黄金虾球,没有面包糠,可以拿什么代替? 乌龟公母怎么分辨 松仁黄金虾球怎样做? 乌龟怎样分辨雌雄??? 台湾商品展销会 你来吗? 黄金虾球的做法是什么? 黄金虾球怎么做好吃 黄金虾球的做法步骤图,黄金虾球怎么做好吃 比乒乓球还要圆的黄金虾球,你会做吗? 怎样制作黄金虾球? 黄金虾球怎么做更加酥脆好吃到爆? 黄金虾球的营养价值 为什么我的qq勋章墙不显示 谁能讲讲根证书 公钥 CA的概念 QQ勋章会消失吗 打个比方之前好友达到五十个然后得... 什么是根证书 网银的CA根证书是做什么用的? QQ主页上没QQ勋章怎么办? 电脑里的证书有什么用 什么是根证书?怎么申请? 为什么我这里没有QQ勋章墙 自己生成的SSL证书与购买的SSL证书有什么重要的区别? 根内置与非根内置的第三方机购颁发的证书有什么不... 火车票上的内容各表示什么 车票有什么用? 上海房产抵押贷款有哪些? 在上海要怎么办理房产抵押贷款? 上海房产抵押贷款可以拿来付首付嘛? 上海房产抵押贷款一般最长能贷多少年? 上海房产抵押贷款用什么app查询 上海房产申请银行抵押贷款什么要求?需要什么流程? 上海银行房产抵押贷款流程具体是怎样的