详解SSL证书系列(11)CA机构和证书链 - 永远的麦子 - 博客园
Excerpt
上一篇介绍了SSL的加密算法,包括散列函数,对称加密和非对称加密。这一篇来介绍一下SSL证书相关的CA机构和证书链。 CA机构 SSL证书的CA机构,即证书授权机构(Certificate Authority),是一个负责发放和管理数字证书的权威机构。CA机构在网络安全领域扮演着重要的角色,它们通过
上一篇介绍了SSL的加密算法,包括散列函数,对称加密和非对称加密。这一篇来介绍一下SSL证书相关的CA机构和证书链。
CA机构
SSL证书的CA机构,即证书授权机构(Certificate Authority),是一个负责发放和管理数字证书的权威机构。CA机构在网络安全领域扮演着重要的角色,它们通过验证和颁发数字证书,为网络通信提供身份认证的有效凭据,确保数据的安全性和可信度。
SSL证书,又称服务器证书或数字证书,是由CA机构颁发的,用于为网站、移动应用等提供身份验证和数据加密传输的整套HTTPS解决方案。当用户访问一个使用SSL证书的网站时,浏览器会验证该网站所持有的SSL证书的有效性,从而确保通信过程的安全。
CA机构的主要职责包括:
- 认证:验证申请者的身份,确保其真实性和合法性。
- 加密:提供公钥和私钥,用于在不安全的网络上进行安全通信。
- 诚信:对文件进行签名并附有证明书,防止通信过程中被第三方篡改。
- 吊销:一旦发现证书不被信赖或存在安全问题,CA机构有权撤销已颁发的数字证书。
CA机构在发放数字证书时,会严格审核申请者的身份信息和相关材料,确保证书的真实性和有效性。同时,CA机构还会对已颁发的证书进行管理,包括黑名单登记和发布等,以确保数字证书的安全使用。
总的来说,SSL证书的CA机构是网络安全领域的重要保障,它们通过严格的认证和管理流程,为用户提供一个安全、可信的网络通信环境。
CA%E6%9C%BA%E6%9E%84%E5%92%8C%E8%AF%81%E4%B9%A6%E9%93%BE%20-%20%E6%B0%B8%E8%BF%9C%E7%9A%84%E9%BA%A6%E5%AD%90%20-%20%E5%8D%9A%E5%AE%A2%E5%9B%AD/311549-20240408161045319-686410419.png)
证书链
我们使用的证书都是由专门的CA机构颁发,根证书有统一的CA机构颁发,在根证书基础上颁发的二级或三级证书具有CA的二级机构进行签发。
比如FreeCert平台的证书如上,其中Sectigo为根证书,ZeroSSL RSA Domain Secure Site CA为中间证书,*.freecert.cn为服务器证书。当你点击对应的证书,会显示颁发者之间的关系,这种关系便形成证书链,如下图所示:
CA%E6%9C%BA%E6%9E%84%E5%92%8C%E8%AF%81%E4%B9%A6%E9%93%BE%20-%20%E6%B0%B8%E8%BF%9C%E7%9A%84%E9%BA%A6%E5%AD%90%20-%20%E5%8D%9A%E5%AE%A2%E5%9B%AD/311549-20240408161045290-1502085160.png)
CA%E6%9C%BA%E6%9E%84%E5%92%8C%E8%AF%81%E4%B9%A6%E9%93%BE%20-%20%E6%B0%B8%E8%BF%9C%E7%9A%84%E9%BA%A6%E5%AD%90%20-%20%E5%8D%9A%E5%AE%A2%E5%9B%AD/311549-20240408161045288-259621056.png)
在证书链中,通常分为三级结构,分别是根证书,中间证书和服务器证书。正确的证书链顺序中服务器证书处在最底端,里面包含了服务器域名,服务器公钥和签名值等。服务器证书上一级是中间证书,中间证书就是上面提到的由权威CA机构授权的二级机构,可以由它来签发服务器证书,比如ZeroSSL。
中间证书可以由多张证书组合在一起,最上级的是根证书,也就是CA机构,对服务器身份进行校验时,需要验证一整个证书链,由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器证书的签名值是否正确。校验服务器证书需要验证整个证书链,从服务器证书开始,服务器证书的签发者是上一级中间证书的使用者,中间证书的签发者是上一级根证书的使用者。每一级证书都有签名值,根证书使用自己的根CA公钥验证自己的签名,也用来验证中间证书的签名值,中间证书的公钥用来验证下一级的服务器证书签名值,以此构成一条信任链。如下图所示:
CA%E6%9C%BA%E6%9E%84%E5%92%8C%E8%AF%81%E4%B9%A6%E9%93%BE%20-%20%E6%B0%B8%E8%BF%9C%E7%9A%84%E9%BA%A6%E5%AD%90%20-%20%E5%8D%9A%E5%AE%A2%E5%9B%AD/311549-20240408161045310-1669042330.png)
另外,针对SSL免费证书的不足和痛点,我开发并开源了一个平台:华迅FreeCert平台,支持免费的SSL证书,通配符证书的申请和托管,配合自动部署工具可以实现证书的自动化更新和部署,真正做到一次申请终身自动更新和自动部署,欢迎感兴趣的同学试用!
