随着SSL证书的广泛应用。申请SSL证书的人也越来越多。但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书。而最终用户也只是获取SSL证书也是证书链的一部分而已。
大部分人没有意识到最终用户SSL证书只是证书链的一部分。那么就让我们一起来聊聊中间CA和根CA证书吧。SSL(或更准确地说。TLS)是大多数终端用户几乎一无所知的技术。
即使安装了SSL证书的人也对SSL证书之外的事知之甚少。大多数人只是在服务器上安装SSL证书,让他们的网站可以开启HTTPS服务。这就是为什么当你开始提到中间证书CA、根证书CA时。大多数人的目光开始变得呆滞。那么。下面就让我们一起来好好了解吧!
什么是根证书?
根证书。通常称为可信根。是信任SSL/TLS的信任模型的中心。每个浏览器都包含根存储。有些浏览器是自己运行。有些浏览器是使用第三方商店。根存储是安装在设备上的预下载根证书的集合。根证书是无价的。因为使用其私钥签名的任何证书都将被浏览器自动信任。可信根属于证书颁发机构。即验证和发布SSL证书的组织。
什么是证书链?
首先。我们先了解下。浏览器是如何信任一个网站的SSL证书的。浏览器会查看网站的SSL证书。并执行一个快速过程来验证证书的真实性。证书链是什么呢?要获得SSL证书。您可以通过生成证书签名请求(CSR)和私钥开始。在其最简单的迭代中。您将CSR发送到证书颁发机构。然后它用来自其根的私钥对SSL证书进行签名。并将其发送回来。
当浏览器看到SSL证书时。它看到证书是由一个可信的根签名的(或者更准确地说。是用根的私钥签名的)。因为它信任根。因此。它信任该根下的任何证书。在这个例子中。服务器证书直接链接到根目录。
什么是中级证书?
证书颁发机构不直接从其根源发布服务器证书(最终用户SSL证书)。这是很危险的。因为如果出现任何错误发布或要求撤销每个使用root签名的证书。那么将立即不受信任。
因此。为了自我隔离。CAS通常会发出所谓的中间根。CA用它的私有密钥对中间根进行签名。这使得它可信。然后CA使用中间证书的私钥来签署最终用户SSL证书。这个过程可以执行多次。其中中间根对另一个中间根进行签名。然后CA使用它来对证书进行签名。
根证书与中间证书的区别
数字签名扮演什么角色?
在这种情况下。数字签名有一种数字形式的公证。当根证书对中间证书进行数字签名时。它实质上就是传递信任的作用。因为签名直接来自可信根证书的私钥。所以它是自动信任的。
无论何时向浏览器或设备提供SSL证书。它都会接收证书本身以及与证书相关联的公钥。使用公钥。它解密数字签名并查看它是由谁签署的——什么样的证书签署它。
当浏览器在网站上对最终用户SSL证书进行身份验证时。它使用提供的公钥来解密签名并将一个链接向上移动。它继续重复这个过程——对签名进行解密。并遵循链到对其签名的证书——直到最终到达浏览器信任存储区中的根证书之一。
如果它不能将证书链接回其可信根之一。它将不信任证书。
那么。根CA和中间CA之间的区别是什么?
这其实相当简单。根CA是拥有一个或多个可信根的证书颁发机构。这意味着它们在主要浏览器的信任商店中扎根。中间CAS或子CAS是签发中间根的证书颁发机构。它们在浏览器的信任存储中没有根。而是它们的中间根链接回可信的第三方根。这有时被称为交叉签名。
根证书和中间证书之间的区别。在这里它可能会有点混乱。CAS通过发放中间人。然后与那些人签署证书来增加安全层。这有助于在发生误发布或安全事件时最小化和划分损坏。与其撤消根证书和它通过扩展签名的每个证书。不如只撤消中间件。这只会导致从中间件发出的证书组受到信任。
链式根和单根有什么区别?
这实际上是我们最后一个问题的答案。CA拥有单个根。它可以直接颁发证书。使得部署证书和简化安装更加简单。链式根是子CA用来颁发证书的内容。它是一个中间证书。但是。因为Sub CA没有自己的可信根。所以必须将其链接到具有可信根的第三方CA。
这也带来了不同。这就是为什么:链接根使得安装更加复杂。因为中间根将需要加载到托管证书的每个服务器和应用程序上。链锁的根在他们被束缚的CA的支配下。他们无法控制根部。所以如果根CA破产了。那么后果是很严重的。
我们刚刚描述的——涉及证书授权、证书链和加密签名的信任模型——本质上是PKI或公钥基础设施。了解了它。大家就可以了解企业如何部署私有CA和自签名证书了。与可信CA一起工作。组织生成根证书和私钥(这被称为密钥仪式)。然后。组织将根添加到自己的根存储区。遍及所有的系统和设备。从那时起。组织就可以使用来自其根的私钥自签署的证书。并且它们将在其网络上受到信任。
本文地址:https://gpu.xuandashi.com/8416.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!