本文详细介绍了CA(证书颁发机构)的运作模式,包括委派认证和交叉认证,以及证书的过期与吊销。委派认证允许二级CA机构签发服务器证书,减少权威CA的工作量。交叉认证则通过已信任的CA机构授权新CA快速部署。同时,文章讲解了CRL(证书吊销列表)在验证服务器证书有效性中的作用,包括CRL文件结构和校验流程。
从前面证书链校验可以看到,浏览器校验服务器身份时,需要校验整个信任链,中间证书和服务器证书。中间证书是可以签发服务器证书的,之所以要多出这样一个中间证书,而不是由CA机构直接签发,原因是权威的CA机构数量并不多,如果所有的服务器实体证书都交由权威CA机构签发,当然可以,可是这样CA机构的工作量将非常大,所以CA机构采取授权二级CA机构的方式,让有授权的中间证书(也就是二级CA机构)也可以签发服务器证书,当然校验服务器证书的时候也要校验中间证书,一级一级往上。权威CA机构(即根证书)的授权委派二级机构方式有两种,委派认证和交叉认证。
委派认证
事实上,一般情况下权威的CA机构都不会直接签发服务器证书,原因除了上面说的工作量大外,还有,CA机构数量不多,且分布在世界各地,例如中国北京的天威诚信,外国的比较知名的Comodo,GeoTrust和Symantec等,假如一家中国的企业直接向国外的CA机构申请证书,那么一系列提交审核,政策等原因,可能会较繁琐。解决这种问题,国外的权威CA机构可以选择在中国授权委派一个代理商,让这个在中国的代理商负责签发中国企业或机构发来的证书申请文件。这就是委派认证,CA机构需要先向二级机构前发一张委派证书,表示认证该机构,之后该二级机构就可以行使同样的服务器证书签发权力。
二级证书(二级CA机构)还有一个好处就是,如果证书的签名算法进行了更新,那么直接对二级证书进行更新即可,而如果是根证书直接签发的服务器证书,那么如果根证书(也就是CA机构)支持的签名算法进行了更新,需要通知浏览器,更新浏览器集成的CA更证书。委派二级机构的好处就是,直接更新中间证书即可,不需要通知浏览器更新集成的CA根证书,而且CA机构进行版本升级也是很麻烦的。
最低0.47元/天 解锁文章
扫一扫
1900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
