数字证书有效性的验证

分为三步：

1.数字证书有效期验证

     就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期

     

2.证书链的验证

   

         证书链可以有任意环节的长度，所以在三节的链中，信任锚证书CA 环节可以对中间证书签名；中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以验证有效性，也可以用来构造这些信任链。

先来理解一下什么是根证书？
     普通的证书一般包括三部分：用户信息，用户公钥，以及CA签名
     那么我们要验证这张证书就需要验证CA签名的真伪。那么就需要CA公钥。而CA公钥存在于另外一张证书（称这张证书是对普通证书签名的证书）中。因此我们又需要验证这另外一张证书的真伪。因此又需要验证另另外证书（称这张证书是对另外一张证书签名的证书）的真伪。依次往下回溯，就得到一条证书链。那么这张证书链从哪里结束呢？就是在根证书结束（即验证到根证书结束）。根证书是个很特别的证书，它是CA中心自己给自己签名的证书（即这张证书是用CA公钥对这张证书进行签名）。信任这张证书，就代表信任这张证书下的证书链。
    所有用户在使用自己的证书之前必须先下载根证书。
    所谓根证书验证就是：用根证书公钥来验证该证书的颁发者签名。所以首先必须要有根证书，并且根证书必须在受信任的证书列表（即信任域）。

总而言之，就是除开根证书，没一级的证书需要验证的所需的公钥都在上一级的证书当中。
 

3.CRL验证
     CRL是经过CA签名的证书作废列表，用于证书冻结和撤销。一般来说证书中有CRL地址，供HTTP或者LDAP方式访问，通过解析可得到CRL地址，然后下载CRL进行验证。
     并且证书中有CRL生效日期以及下次更新的日期，因此CRL是自动更新的，因此会有延迟性。
     于是呢，还有另外一种方式OSCP证书状态在线查询，可以即时的查询证书状态。（针对CRL的延时性，文件过大，重复下载等缺点）
借鉴：https://blog.csdn.net/baidu_36649389/article/details/53240579