ssl证书中,什么是根证书,中间证书,证书连又是什么

已于 2024-09-23 17:53:48 修改
阅读量931 收藏 10
点赞数 20
分类专栏: 安全 linux 文章标签: ssl 网络 网络协议 安全
于 2024-09-23 17:50:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010674101/article/details/142464422
版权

在 SSL/TLS 证书体系中,根证书(Root Certificate)、中间证书(Intermediate Certificate)、证书链(Certificate Chain)都是至关重要的概念,它们构成了整个证书验证的体系结构,确保了 SSL 连接的安全性。下面是对这些概念的详细解释:

1. 根证书(Root Certificate)

  • 根证书是由受信任的证书颁发机构(CA, Certificate Authority)签发的自签名证书。它是整个证书链的起点,具有最高级别的信任。
  • 根证书由全球受信任的CA(如 DigiCert、GlobalSign、Let’s Encrypt)发布,并已经内置于常见的操作系统和浏览器中。这意味着,当用户访问使用 SSL 的网站时,浏览器会自动信任这些根证书。
  • 根证书自签名,这意味着它是由CA自己签署的,而不是由其他任何CA颁发。

特点:

  • 权威性:根证书位于证书链的最顶端,具有最高的信任级别。
  • 自签名:根证书不是由上级签发,而是自签名的。
  • 存储于操作系统和浏览器中:根证书是操作系统、浏览器的信任列表的一部分。

2. 中间证书(Intermediate Certificate)

  • 中间证书是由根证书或其他中间证书颁发的,用来为最终的服务器证书提供一个中间的信任层。中间证书的主要目的是在根证书和服务器证书之间建立一个链式结构,使得根证书不直接参与每个网站的签发。
  • CA使用中间证书对服务器证书进行签名,而不是使用根证书直接签名。这是为了安全性考虑,防止根证书泄露或受到攻击,因为一旦根证书失效,整个 CA 的信任链都会崩溃。

特点:

  • 由根证书或其他中间证书签发。
  • 用于签发服务器证书。
  • 具有更短的有效期,以便于安全性管理。

3. 服务器证书(Server Certificate)

  • 服务器证书是网站的SSL证书,通常由中间证书签发。它是网站服务器提供给客户端(如浏览器)的证书,客户端使用它来建立SSL连接。
  • 服务器证书是实际被使用来保护网站通信的证书,包含了网站的域名、证书的有效期、CA的签名等信息。

4. 证书链(Certificate Chain)

  • 证书链是由多个证书按层级结构组成的一条信任链,从服务器证书到根证书。它包含服务器证书、中间证书,以及根证书的顺序关系。客户端通过验证整个证书链,逐层确认每一个证书的真实性,最终信任根证书。
  • 证书链中的每个证书都由上一级的证书进行签名,最终根证书是链条的顶端。

证书链验证流程:

  1. 浏览器或客户端获取服务器的证书。
  2. 浏览器检查该服务器证书的签发者(CA),并通过中间证书找到这个CA的证书。
  3. 如果中间证书也是由更上一级的中间证书签发,继续往上查找,直到找到根证书。
  4. 浏览器信任已知的根证书,因此证书链验证通过,浏览器认为该网站安全。

5. 举例说明

假设你访问一个网站时,浏览器接收到以下证书链:

  • 服务器证书:由 Intermediate CA 签发,用于特定网站(如 www.example.com)。
  • 中间证书:由 Root CA 签发,用于 Intermediate CA 颁发服务器证书。
  • 根证书:由 Root CA 自己签发,是操作系统或浏览器中已经内置的信任证书。

证书链的顺序
服务器证书 ← 中间证书 ← 根证书。

总结

  • 根证书是整个信任链的顶点,由 CA 自签名并存储在操作系统和浏览器中。
  • 中间证书由根证书或其他中间证书签发,用于签发服务器证书,增强安全性。
  • 服务器证书是最终用来保护网站的SSL证书。
  • 证书链是由服务器证书、中间证书和根证书组成的层级信任链,保证浏览器信任网站的安全性。

在这里插入图片描述

例子:

不可以。仅导入自签名的中间证书无法使浏览器信任这个证书链,也无法消除“不安全”的提示。原因是:

1. 根证书的信任是基础

浏览器信任链的基础在于根证书。只有浏览器信任的根证书才能验证并信任后续的中间证书和服务器证书。如果只导入了中间证书,浏览器无法验证它的签发者,因此无法信任它。

2. 中间证书需要上级签发

中间证书的可信赖性依赖于它的上级证书(通常是根证书)。如果浏览器没有信任根证书,那么中间证书也不会被信任。即使你导入了中间证书,浏览器仍然会尝试向上查找根证书。如果根证书不在浏览器的信任列表中,浏览器就会认为证书链是不完整的,从而发出“不安全”的警告。

3. 自签名证书链的验证过程

自签名证书是由自己签发的根证书,通常不被浏览器默认信任。对于自签名证书链,整个信任链是由自签名的根证书开始的。因此,如果你使用自签名的证书,而不导入根证书,浏览器无法通过根证书来验证中间证书,也无法信任服务器的证书。

如何解决:

  • 导入自签名的根证书:要让浏览器信任自签名的证书链,必须将自签名的根证书导入到浏览器或操作系统的信任证书列表中。只有这样,浏览器才能信任证书链中的中间证书和服务器证书,从而避免“不安全”的警告。

  • 使用受信任的CA颁发证书:另一种选择是使用全球受信任的证书颁发机构(CA)签发的证书,这些机构的根证书已经被浏览器信任,避免了手动导入证书的麻烦。

因此,导入自签名的根证书是必要的,否则浏览器无法完全信任证书链,即使你导入了中间证书。

在这里插入图片描述

少陽君
关注
专栏目录
[ 网络协议篇 ] 一篇文章让你掌握什么是 数字证书 ?什么是SSL ?什么是 TLS ?
qq_51577576的博客
12-23 6049
[ 网络协议篇 ] 一篇文章让你掌握什么是 数字证书 ?什么是SSL ?什么是 TLS ? 非常全面,看完之后你会有意想不到的收获
android连wss忽略证书无效,Android平台联网的时候遇到SSL证书无效的处理办法
weixin_29240711的博客
05-28 1062
最近在关注微博开发平台,前几日在腾讯微博开放平台创建了一个应用,途越到了些问题:1、关于Oauth授权,第一次接触的时候,也晕了很久,一下子接触了很多新东西,要慢慢消化,不过到最后也都还消化的不错。主要有urlencode、basestring、signature、base64encode等。2、联网。之前一直没有尝试使用过联网,这些一来就闷在哪里。URL、URLConnction、HttpUR...
https配置中间证书
weixin_44972135的博客
05-22 1972
公司最近做了一个在线课堂直播课的小程序,调用的接口使用的是phalapi框架,接口的话使用https协议访问比较安全,nginx部署https已经配置完成,上线时发现ios手机可以正常访问,但是安卓手机访问时会报如下错误信息: https配置中间证书 错误信息显示缺少中间证书,接下来就解决该问题: 1 中间证书生成证书 中间证书下载工具: https://www.myssl.cn/tool...
在线买火车票为什么要安装证书
zongliangyoung的博客
02-05 452
在线买火车票为什么要安装证书? 2012年1月8日发表评论阅读评论 本文想简单谈谈那个所谓的“证书”。在访问铁道部网上售票官网 www.12306.cn 后,有一个醒目的提示,为保证顺畅购票,需要下载安装证书。那么什么是证书?为什么买火车票的时候需要下载和安装,在淘宝等在线交易网站购物时候为什么就不需要这样做? 今年开始,人民群众们终于可以通过互联网购买火车票了。虽然说在线买的难...
中间证书
weixin_30518397的博客
08-31 759
通过回答如下几个问题来了解中间证书是什么、为何要使用及为何要部署到服务器。 1、中间证书是什么 通常给我们颁发证书的公司CA并不是Root CA而是其它CA颁发的证书,每个证书都包括“使用者”和“颁发者”的相关信息,由此可形成一个证书链,中间部分叫中间证书。当客户端访问site会据此站点证书链由下到上依次从本地可信CA找寻证书来验证site证书的有效性,一旦找到一个可信的CA即可验证sit...
证书(root certificate)
weixin_40191861的博客
07-13 844
在和领域,)是屬於(CA)的,是在,的起點。证书颁发机构的角色有如现实世界的,保證網路世界電子證書持有人的。具體作法是透過,利用為多個客戶签发多个不同的,形成一个以其证书為顶层的,在此所有下層證書都会因為证书可被信赖而继承信任基礎。證書在作為信任錨的起點角色證書沒有上層機構再為其本身作數位簽章,所以都是自簽證書。许多(例如)会預先安裝可被信任的证书,這代表用戶授權了應用軟件代為審核哪些憑證機構屬於可靠,例如是公認可靠的政府機關(如)、專職機構(如)等。應用軟件在。
证书(root certificate)是屬於证书颁发机构(CA)的公钥证书
weixin_40191861的博客
08-11 1753
在密码学和领域,)是屬於(CA)的,是在,的起點。证书颁发机构的角色有如现实世界的公證行,保證網路世界電子證書持有人的身份。具體作法是透過,利用數位簽章為多個客戶签发多个不同的,形成一个以其证书為顶层的樹狀結構,在此传递关系所有下層證書都会因為证书可被信赖而继承信任基礎。證書在作為信任錨的起點角色證書沒有上層機構再為其本身作數位簽章,所以都是。许多(例如。
ssl tls 证书证书和叶证书查询
djph26741的博客
02-18 1145
你基本上需要做的是构建一个证书链,如果你没有得到它作为一个链。证书链基本上由第零个位置的最终实体证书(也是叶证书,链最重要的证书)组成,其次是次要证书。 CA证书是最不重要的。 所以这是通常的X.509证书链的样子: 3. CA Certificate (self-signed) 证书,CA证书是最不重要 | |__ 2. Sub CA Certif...
导入证书可以解决”无法建立到信任颁发机构的证书链"问题。
05-23
在本例,提供的文件名为“MicrosoftRootCertificateAuthority2011.cer”,这很可能是微软在2011年发布的证书。微软的证书用于验证由微软签发的其他证书,包括Windows更新服务器、Office 365等服务。 解决此...
HTTPS、SSL与数字证书
HaiBing
02-27 726
在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了。本文追本溯源围绕这个模式谈一谈。名词解释首先解释一下上面的几个名词:https:在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层。从发送端看,这一层负责把http的...
HTTPS CA证书与TLS建立过程
09-20
自己在网上搜了好多资料,据自己的理解整理了HTTPS、CA证书、TLS建立的过程,简单画了个图
中间证书的使用
thlzjfefe的博客
03-13 2106
前言 我们经常在安装和部署SSL证书的时候,需要一同安装中间证书中间证书到底是什么?为什么必须要安装?为什么有时候,没有中间证书,我的IE也能正常访问HTTPS?为什么其他浏览器都OK了,但安卓手机就是不行了! 中间证书是什么 中间证书,其实也叫中间CA(中间证书颁发机构,Intermediatecertificateauthority, Intermedia CA),对应的是证书颁发机构(Root certificateauthority ,Root CA)。为了验证证书是否可信,必须确保...
证书中间证书之间的区别
-
11-20 6299
随着SSL证书的广泛应用,申请SSL证书的人也越来越多,但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书,而最终用户也只是获取SSL证书也是证书链的一部分而已。 在本文将为大家介绍关于SSL证书证书中间证书的知识。 什么是证书证书是指CA机构颁发SSL证书的核心,是信任链的起始点。证书是浏览器是否对...
SSL证书
Shen_Guo的博客
11-18 3620
在一个内部私有网络,如果我们对安全性的要求不是很高,要想实现SSL通信,我们可以使用自签名证书。简而言之,就是自己给自己签发一个证书,在这个环节,我们自己充当了 CA心。   我们在访问一些网站时,有时会显示以下警告:   这是因为有些网站使用组织或个人自己签发的证书,浏览器不信任这个证书的颁发机构,当我们访问网站时,就会收到这种警告。 浏览器是如何信任证书的颁发机构呢?这里我们使
CA证书——https安全保障的基石
CSDN_G_Y的博客
04-01 3969
CA证书是https最重要的,也是为何安全的最本的保证
阿里负载均衡,配置中间证书问题(在starcom申请免费DV ssl
hgg923的专栏
06-29 3178
前提假如免费版相关证书都已经配置到位,但是微信小程序Android访问有问题,检测域名(https://www.myssl.cn/tools/check-server-cert.html)发现服务器缺少中间证书 正常已生成【证书内容】、【私钥】如下 1、生成中间证书 复制.pem或者crt文件内容,在如下网站生成中间证书,下载文件:【chain.crt】 (https://www
https网络编程——使用openssl库自建证书_openssl 生成证书(1)
最新发布
2401_83817769的博客
05-13 436
建立serial,并在文件填入0001,被签发的证书都会有序号和位置,记录这份证明在早先签署的和发布的单位签字并且发布的证明号码,这个文件能使用为记录签署和发布证明号码的证明,每次签署和发行证明OpenSSL证明可能自动地更新这个文件。(具体没什么用,但必须要有)每次签署和发行证明OpenSSL证明可能自动地更新这个文件建立index.txt,这个文件能为纪录使用证明签署和发布证明纪录。证明普通的情况用途为对标志和发行传递的证明,再标志和问题终端证明由传递的证明(服务器,客户端)。
证书,安装证书,就表明你是信任办法该证书的CA
fyifei0558的专栏
04-18 5327
证书是未被签名的公钥证书或自签名的证书证书是CA认证心给自己颁发的证书,是信任链的起始点。安装证书意味着对这个CA认证心的信任。   从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA心对该证书信息的签名是否有效),需要用CA 心的公钥验证,而CA心的公钥存在于对这份证书进行签名的证书内,故需要下载该
数字证书的相关专业名词()---证书和CRL,以及javaCRL的获取和验证方法
qq_44005305的博客
04-11 1164
上篇文章我们主要了解了PKI的数字证书和PKCS,这篇文章我们主要了解一下证书,以及OCSP和CRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

少陽君

谢谢老板的拿铁

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值