證書鏈是什麼?證書鏈是用於在公鑰基礎結構(PKI)的證書頒發機構(CA)之間建立信任關係。信任關係建立在根CA,中間CA和安全套接字層(SSL)證書之間的層次結構角色和關係。
實際上,爲了識別SSL證書的信任因素,瀏覽器必須驗證更多細節。這些詳細信息不過是經過了更多審查的證書而已。該證書列表從根證書到最終瀏覽器,代表SSL證書鏈。
接下來,我們將提供SSL證書鏈的組成部分,來深刻的瞭解證書鏈:
證書鏈是由:根證書、中間證書、用戶證書組成的一條完整證書信任鏈,如圖所示:
只有當整個證書信任鏈上的各個證書都有效時,瀏覽器纔會認定當前頒發給用戶的證書是有效和受信任的。而證書鏈文件是指除了用戶證書以外中間證書和根證書組成的證書文件稱之爲證書鏈文件。證書鏈文件是證書部署和驗證證書是否可信環節中最重要的組成部分。
接下來,我們來解讀證書鏈驗證過程,也就是證書鏈的工作原理,如圖所示:
- 瀏覽器啓動與具有CA D頒發的SSL證書的域的SSL連接。
- CA D是中間CA。因此,瀏覽器在已知的受信任的根CA列表中將沒有D的根CA證書。
- D的證書由中間CA C簽名。
- C的證書由中間CA B簽名。
- B的證書由中間CA A簽名。
- 根CA信任中間CA A的證書。
如果根CA是已知的受信任CA,則在初始請求中提供給瀏覽器的SSL證書被視爲有效。