一、什么是证书链?
证书链是什么?证书链是用于在公钥基础结构(PKI)的证书颁发机构(CA)之间建立信任关系。信任关系建立在根CA,中间CA和安全套接字层(SSL)证书之间的层次结构角色和关系。
实际上,为了识别SSL证书的信任因素,浏览器必须验证更多细节。这些详细信息不过是经过了更多审查的证书而已。该证书列表从根证书到最终浏览器,代表SSL证书链。
接下来,我们将提供SSL证书链的组成部分,来深刻的了解证书链:
证书链是由:根证书、中间证书、用户证书组成的一条完整证书信任链,如图所示:
只有当整个证书信任链上的各个证书都有效时,浏览器才会认定当前颁发给用户的证书是有效和受信任的。而证书链文件是指除了用户证书以外中间证书和根证书组成的证书文件称之为证书链文件。证书链文件是证书部署和验证证书是否可信环节中最重要的组成部分。
知识扩展:什么是根证书?| 什么是中间证书?| 什么是用户证书?
接下来,我们来解读证书链验证过程,也就是证书链的工作原理,如图所示:
证书链验证过程的简单示例:
- 浏览器启动与具有CA D颁发的SSL证书的域的SSL连接。
- CA D是中间CA。因此,浏览器在已知的受信任的根CA列表中将没有D的根CA证书。
- D的证书由中间CA C签名。
- C的证书由中间CA B签名。
- B的证书由中间CA A签名。
- 根CA信任中间CA A的证书。
如果根CA是已知的受信任CA,则在初始请求中提供给浏览器的SSL证书被视为有效。
