关于SSL证书之证书链
证书链由两个环节组成—信任锚(CA 证书)环节和已签名证书环节。自我签名的证书仅有一个环节的长度—信任锚环节就是已签名证书本身。
证书链可以有任意环节的长度,所以在三节的链中,信任锚证书CA 环节可以对中间证书签名;中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以验证有效性,也可以用来构造这些信任链。
Web 浏览器已预先配置了一组浏览器自动信任的根 CA 证书。来自其他证书授权机构的所有证书都必须附带证书链,以检验这些证书的有效性。证书链是由一系列 CA 证书发出的证书序列,最终以根 CA 证书结束。
证书最初生成时是一个自签名证书。自签名证书是其签发者(签名者)与主题(其公共密钥由该证书进行验证的实体)相同的证书。如果拥有者向 CA 发送证书签名请求 (CSR),然后输入响应,自签名证书将被证书链替换。链的底部是由 CA 发布的、用于验证主题的公共密钥的证书(回复)。链中的下一个证书是验证 CA 的公共密钥的证书。通常,这是一个自签名证书(即,来自 CA、用于验证其自身的公共密钥的证书)并且是链中的最后一个证书。
在其他情况下,CA 可能会返回一个证书链。在此情况下,链的底部证书是相同的(由 CA 签发的证书,用于验证密钥条目的公共密钥),但是链中的第二个证书是由其他 CA 签发的证书,用于验证您向其发送了 CSR 的 CA 的公共密钥。然后,链中的下一个证书是用于验证第二个 CA 的密钥的证书,依此类推,直至到达自签名的根证书。因此,链中的每个证书(第一个证书之后的证书)都需要验证链中前一个证书的签名者的公共密钥。
签名的原理如下图
下面是证书有效性验证的图。这就是证书链的概念所在
比如在验证我们SSL证书的有效性的时候,会一层层的去寻找颁发者的证书,直到自签名的根证书,然后通过相应的公钥再反过来验证下一级的数字签名的正确性。
以上是为大家分享证书链的内容,关于更多SSL证书的资讯,请关注https://www.kingnettech.com/
常见的 SSL 错误解决办法 为了保障用户的隐私信息安全,减少信...
最后甚至会从Chrome的UI中取消挂锁图标。。。 谷歌爸爸在上周四...
从昨天跟大家分享金网科技原创手把手Docker java web 应用hellowor...
全面的日志管理和分析策略是关键任务,使组织能够理解运营...
对最常见的开源协议做下总结分享 Mozilla Public License MPLLicense,允...
什么是API API是Application Programming Interface的简写。 实现了两个或...
代码签名证书简介及其许多好处 今天,几乎所有东西都是电脑。...
PFS概览 众所周知,若服务器的私钥泄漏,任何可以访问私钥的人...
任何运行思科支持的虚拟专用网络(VPN)的人都可能需要安装更...
Google Chrome 66 Beta将于3月15日,即本周四发布。 虽然谷歌和赛门铁...