本文介绍了HTTPS证书链的结构,包括根证书、中间证书和服务器实体证书,阐述了构建正确证书链的重要性。详细讲解了信任链的校验过程,从服务器证书开始,逐级验证中间证书和根证书的签名值,确保安全连接。同时,解释了信任锚的概念,即根证书作为信任的起点,被浏览器内置并信任。
先来打开一个网站的证书链看看:
它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.youkuaiyun.com。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也可以签发服务器证书。CA机构授权使用根证书,签发的二级结构证书,就是中间证书。
证书链顺序
回到证书链,在证书认证过程中,由于校验方,通常为浏览器中,继承的是权威CA机构的根证书,因此对于一些经授权的中间证书,浏览器却识别不了(当然也有部分中间证书可以被识别),因此仔部署HTTPS网站时,需要构建正确的证书链,告诉验证方,该服务器证书和它的签署机构,以及根证书(权威CA机构)之间的关系。在证书链中,通常分三级结构,根证书,中间证书和服务器实体证书,正确的证书链顺序中服务器实体证书处在最底端,里面包含了些服务器域名,服务器公钥和
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
