根证书和中间证书有什么区别?
admin
公钥基础设施(PKI)支持许多与安全相关的服务,包括数据机密性、数据完整性和终端实体身份验证。从根本上说,这些服务是基于公钥/私钥对的正确使用。该密钥对的公共部分以公共密钥证书的形式发布,并与适当的算法相关联,可用于验证数字签名、加密数据或两者兼而有之。
公钥证书是用于在身份和公钥之间建立关联的签名声明。为该关联担保并签署证书的实体是证书的颁发者,其公钥被担保的身份是证书的主体。为了关联身份和公钥,使用证书链。证书链也称为证书路径或信任链。
什么是证书链?
证书链是证书列表(通常以终端实体证书开头)后跟一个或多个CA证书(通常最后一个是自签名证书),具有以下属性:
每个证书(最后一个证书除外)的颁发者与列表中下一个证书的主题相匹配。
每个证书(最后一个证书除外)都应该由链中下一个证书对应的密钥签名(即一个证书的签名可以使用包含在后续证书中的公钥来验证)。
列表中的最后一个证书是信任锚:您信任的证书,因为它是由一些值得信赖的程序交付给您的。信任锚是CA证书(或更准确地说,是CA的公共验证密钥),被依赖方用作路径验证的起点。
在RFC5280中,证书链或信任链被定义为“证书路径”。换句话说,信任链是指您的 SSL证书以及它如何链接回受信任的证书颁发机构。为了使SSL证书可信,它必须可以追溯到它被签署的信任根,这意味着链中的所有证书——服务器、中间证书和根证书,都需要得到适当的信任。信任链分为三个部分:
公钥证书是用于在身份和公钥之间建立关联的签名声明。为该关联担保并签署证书的实体是证书的颁发者,其公钥被担保的身份是证书的主体。为了关联身份和公钥,使用证书链。证书链也称为证书路径或信任链。
什么是证书链?
证书链是证书列表(通常以终端实体证书开头)后跟一个或多个CA证书(通常最后一个是自签名证书),具有以下属性:
每个证书(最后一个证书除外)的颁发者与列表中下一个证书的主题相匹配。
每个证书(最后一个证书除外)都应该由链中下一个证书对应的密钥签名(即一个证书的签名可以使用包含在后续证书中的公钥来验证)。
列表中的最后一个证书是信任锚:您信任的证书,因为它是由一些值得信赖的程序交付给您的。信任锚是CA证书(或更准确地说,是CA的公共验证密钥),被依赖方用作路径验证的起点。
在RFC5280中,证书链或信任链被定义为“证书路径”。换句话说,信任链是指您的 SSL证书以及它如何链接回受信任的证书颁发机构。为了使SSL证书可信,它必须可以追溯到它被签署的信任根,这意味着链中的所有证书——服务器、中间证书和根证书,都需要得到适当的信任。信任链分为三个部分:
