CA根证书的层级关系和验证流程

CA根证书层级与验证流程解析
原创 已于 2025-09-02 11:20:14 修改 · 284 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #https #服务器

于 2025-09-02 11:15:42 首次发布

CA根证书的层级关系和验证流程:

1. 证书层级结构(树状图)

[根证书 (Root CA)]
│
├── [中间证书 (Intermediate CA 1)]
│   │
│   ├── [网站证书 (example.com)]
│   └── [邮件证书 (mail.example.com)]
│
└── [中间证书 (Intermediate CA 2)]
    │
    └── [代码签名证书 (developer.com)]
  • 根证书:位于顶端,自签名,不直接签发终端证书。
  • 中间证书:隔离风险,实际签发终端证书。
  • 终端证书:最终使用的证书(如网站、邮件、代码签名)。

2. 证书验证流程(步骤图解)

1. 浏览器访问 https://example.com
   │
2. 服务器返回证书链:
   │   [网站证书] → [中间证书] → [根证书]
   │
3. 浏览器检查:
   ├─ 证书是否过期? → ❌ 过期 → 显示警告
   ├─ 域名是否匹配? → ❌ 不匹配 → 显示警告
   └─ 签名是否有效? → 用根证书公钥逐级验证:
       │
       ├─ 用[根证书]公钥验证[中间证书]签名 → ✅
       │   │
       │   └─ 用[中间证书]公钥验证[网站证书]签名 → ✅
       │
       └─ 全部通过 → 建立HTTPS加密连接 🔒

3. 信任链示意图

[操作系统/浏览器]
│
├── 预置的受信任根证书(如DigiCert、GlobalSign等)
│   │
│   └── 自动信任所有下级证书(中间证书 → 网站证书)
│
└── 手动安装的私有根证书(如企业CA)
    │
    └── 仅信任该CA签发的证书(需用户确认风险)

关键点标注

  • 🔑 根证书私钥:严格离线存储(如硬件加密模块)。
  • ⏳ 有效期:根证书(10-25年) > 中间证书(5-10年) > 终端证书(1-2年)。
  • 🛡️ 安全隔离:中间证书作为“缓冲层”,即使泄露也可快速吊销,无需动摇根证书。
浅谈基于openssl的多级证书,Multi-level CA管理,以及双向认证
m0_38084180的博客
04-21 4613
最近在研究openssl发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证双向认证过程区别、数字证书、CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己发一个证书,放在服务端,客户ht
证书的层级结构
实践求真知
10-01 2584
一 点睛 用户需要使用认证机构的公钥,对证书上的数字名进行验证。 那么,对于用来验证数字名的认证机构的公钥,怎样才能判断它是合法的呢?对于认证机构的公钥,可以由其他认证机构施加数字名,从而对认证机构的公钥进行验证,即生成一张认证机构的公钥证书。 一个认证机构来验证另外一个认证机构的公钥,这样的关系可以迭代好几层。这样一种认证机构之间的层级关系,我们可以用某公司内部PKI来类比。例如某公...
CA系统详解系列:数字证书的申请、验证流程
qq_52825648的博客
01-15 5530
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息数据等以加密或解密的形式保证了信息数据的完整性安全性。本问将详细讲解数字证书的申请、验证流程
CA 认证过程及 https 实现方法
11-20 4929
CA 认证过程 CA 概述:Certificate Authority 的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书。CA 认证的流程公安局派出所颁发身份证的流程一样 认证中心(CA)的功能有:证书发放、证书更新、证书撤销证书验证CA 证书作用:身份认证,实现数据的不可否认性。 我们先回顾一下身份证的办理过程: 带上户口本(证明你合法)-》当地派出所(认证机构)-》发证书(审核有效信息)-》你去领证书 接下来我们回顾数字证书认证过程如下图: 证书请求文件:CSR 是
RSA - 证书与CA
阿发你好
06-29 8291
CA 证书发放机构 【百度 “数字证书” 】 1. 发放 机构向CA申请一张证书,证书于向用户证书自己的身份。 CA在证书的末尾会添加一段名,让用证明该cert是CA发的。过程呢,就是CA用自己的私钥对这一段证书进行名。CA本身会出一个证书,叫做根证书,把公钥放在里面。 2. 校 客户端在接收到一个证书cert时,首先要做的工作是检该证书是否有效。也就是说,看这
证书有效性验证根证书
热门推荐
hqy1719239337的博客
03-29 1万+
一、 数字证书的有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信...
逐级验证名的详细技术流程
2301_81882590的博客
04-01 1155
text{验证通过} \iff \text{Decrypt}_{\text{CA公钥}}(\text{名}) == \text{SHA256}(\text{TBSCertificate})\text{验证通过} \iff \text{Decrypt}_{\text{CA公钥}}(\text{名}) == \text{SHA256}(\text{TBSCertificate})数字证书的信任链验证是PKI(公钥基础设施)的核心机制,其核心是通过。- 根CA = 公安部(发身份证的标准机构)
CA认证及鉴定过程
非-浪的博客
09-16 1万+
1. 服务端申请证书 将CSR提交给CACA一般有2种认证方式: 1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是发的证书中没有企业的名称; 2、企业文档认证,需要提供企业的营业执照 2.客户端鉴定证书 ...
8、什么是CA 证书与证书机构
xuebo1129927648的博客
07-18 3672
CA 证书(Digital Certificate)是由 CA 发的电子文件,本质是绑定了实体身份信息与公钥的可信凭证。它类似于现实中的身份证,证明 “某个公钥确实属于某个实体(如网站、服务器、个人或设备)”。CA 是权威的第三方机构,负责对实体身份进行验证发数字证书、管理证书生命周期(更新、吊销等),是 “公钥基础设施(PKI,Public Key Infrastructure)” 的核心组成部分。
tls证书验证来说,链式CA证书一般是怎么验证的?
04-26
</think>TLS证书验证中链式CA证书的工作流程可分为以下步骤,结合证书链的层级验证机制密码学原理实现身份可信验证: --- ### 一、证书链的构成 证书链由三个层级组成: 1. **终端实体证书**(End-Entity ...
CA按照证书链的层级进行工作
05-30
最高级别的证书颁发机构是根证书颁发机构(Root CA),它是整个证书链的起点。根CA颁发数字证书给下一级证书颁发机构,下一级CA使用其私钥署数字证书,以此类推,形成证书链。 当Web浏览器或其他应用程序需要验证...
CA证书认证
qq_39122260的博客
10-31 1066
2、(Ca服务端操作)根据客户提交的serial与subject信息,对比检是否与index.txt文件中的信息一致,一致吊销证书。/etc/pki/CA/private/cakey.pem #公证书的私钥。/etc/pki/CA/cacert.pem #CA根证书公钥。1、(客户端操作)根据请求文件获取要吊销的证书的serial。#存放CA署(颁发)过的数字证书(证书备份目录)生成自名证书# 调用命令生成一个名证书。3、(Ca服务端操作)CA更新证书吊销列表。#吊销的证书存放目录。
计算机网络---CA证书体系(Certificate Authority)
最新发布
MzKyle的博客
09-04 1520
CA证书体系摘要 CA证书体系是PKI的核心组件,通过权威机构(CA验证实体身份并发数字证书,解决公钥信任问题。体系包含CA发证书)、RA(审核身份)、证书库等模块,遵循X.509标准构建层级信任链。终端验证时需追溯至受信任的根CA,通过验证确保公钥真实性。证书具有严格生命周期(申请、发、吊销等),CA采用树状结构(根CA→中间CA)以降低风险。按服务范围可分为公共CA(如Let's Encrypt)私有CA(企业内网),保障不同场景的安全通信与身份认证。
CA机构——数字证书
m0_73818540的博客
07-27 3835
定义:CA机构是电子商务交易中受信任具有权威性的第三方,负责公钥体系中公钥的合法性检,并为每个使用公开密钥的用户发放数字证书。性质:作为独立第三方,CA机构为用户提供电子认证服务,包括数字证书的申请、发、更新、撤销、查询及验证等。定义:数字证书是互联网通讯中标志通讯各方身份信息的一串数字,也称为公开密钥证书。它用于电子信息活动中电子文件行为主体的验证证明,并可实现电子文件保密性完整性的电子数据。性质:数字证书具有唯一性、可靠性便利性的特征。
CCC数字钥匙3.0标准解读(21)
weixin_41738640的博客
01-09 2205
本章介绍数字钥匙系统中涉及的证书及证书链。
证书链的终极版
weixin_39161141的博客
04-25 3669
这几天学习了证书链,顺便分享了出来,包括证书链组成,验证,证书申请,ssl协议等
密码学之CA如何
weixin_43951811的博客
02-12 671
CA(Certificate Authority)被称为证书授权中心,是数字证书发放管理的机构。根证书CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。数字证书颁发过程一般为:1、用户首先产生自己的密钥对;2、 将公共密钥(公钥)及部分个人身份信息传送给认证中心;3、认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息他的公钥信息,同时还附有认证中心的名信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

少陽君

谢谢老板的拿铁

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值