SSL教程:什么是SSL证书链?例子分享

2015/03/26

证书颁发机构(CA)共分为两种类型:根CA和中间CA。为了使SSL证书被信任,该证书必须由设备所连接的可信存储库CA颁发。

如果该证书不是由受信任CA,该链接设备(如网络浏览器)将检查,看看该证书是否由受信任的CA颁发,直到没有发现受信任CA为止。

SSL证书链就是证书列表中的根证书、中间证书到终端用户证书。

以下是是证书链的示例:

假设您从Awesome机构购买证书,域名是example.awesome.

Awesome机构不是一个更证书颁发机构。换句话说,它的证书并不是直接嵌入在web浏览器,因此它不能被明确的信赖。

》Awesome机构使用证书由中间Awesome 证书颁发机阿尔法颁发的证书

》中间Awesome CA阿尔法使用由中间Awesome证书颁发机构贝塔颁发的证书

》中间Awesome CA贝塔使用由中间Awesome 证书颁发机伽马颁发的证书

》中间Awesome CA伽马使用由The King of Awesome颁发的证书

》The King of Awesomeness是一个根CA。该证书是直接嵌入在您的web浏览器中,因此可以被信任。

以上的例子中,SSL证书链是由以下6个证书组成的:

1. 终端证书:颁发给example.com, 发行商:Awesome机构

2.中间证书1: 颁发给:example.com, 发行商: 中间Awesome颁发机构阿尔法

3. 中间证书2: 颁发给:中间Awesome证书颁发机构阿尔法, 发行商: 中间Awesome颁发机构阿尔法

4. 中间证书3: 颁发给:中间Awesome证书颁发机构贝塔, 发行商: 中间Awesome颁发机构伽马

5. 中间证书4:颁发给中间Awesome证书颁发机构伽马: 发行商:The King of Awesomeness

6. 根证书: 颁发给: King of Awesomeness, 由The King of Awesomeness颁发

证书1 是您的终端用户证书,一个从您CA购买的证书。证书2-5被称为中间证书。证书6是在证书链的最高位置(或最低位置,这取决于您如何看待证书链),被称为根证书。

当您安装终端用户证书,example.awesome, 您必须将所有的中间证书捆绑,并与您的终端用户证书一起安装。如果SSL证书链无效或被受损, 您的证书就不被某些设备信任。

Tags:

Write a comment

Name
Comment