为什么需要中间证书颁发机构?何时使用中间证书?如何验证从中间证书到根证书的链?链接到根证书的中间证书的示例有哪些?
答案1
为什么需要中级证书颁发机构?何时使用中级证书?
有时,为了保护根 CA 的私钥,它会被存储在非常安全的位置,并且只用于签署一些中间证书,然后这些证书会用于颁发最终实体证书。如果发生泄露,可以快速撤销中间证书,而无需重新配置每台机器以信任新的 CA。
另一个可能的原因是委托:例如,谷歌这样的公司经常为自己的网络使用许多证书,他们会有自己的中间 CA。
如何验证从中间证书到根证书的链?
通常,最终实体(例如,SSL/TLS Web 服务器)会为您提供整个证书链,您所要做的就是验证签名。
该链中的最后一个是根证书,您已将其标记为受信任。
例如,当你有一个链[用户] → [intermed-1] → [intermed-2] → [root],验证如下:
做[用户]有[中间-1]作为其“发行人”?
做[用户]有有效签名[中间-1]的钥匙?
做[中间-1]有[中间-2]作为其“发行人”?
做[中间-1]有有效签名[中间-2]的钥匙?
做[中间-2]有[根]作为其“发行人”?
做[中间-2]有有效签名[根]的钥匙?
自从[根]位于链的底部,并且自身为“发行者”,是否被标记为可信?
该过程始终完全相同;中间 CA 的存在和数量无关紧要。用户证书可直接由 root 签名,并以相同方式进行验证。
链接到根证书的中间证书的示例有哪些?
查看证书信息https://twitter.com/或者https://www.facebook.com/包含三个或四个证书的证书链。另请参阅https://www.google.com/以 Google 自己的认证机构为例。