SSL证书链说明

SSL证书链说明

1. SSL证书链定义

证书颁发机构(CA)共分为两种类型:根CA和中间CA。为了使SSL证书被信任,该证书必须由设备所连接的可信存储库CA颁发。

如果该证书不是由受信任CA,该链接设备(如网络浏览器)将检查,查看该证书是否由受信任的CA颁发,直到没有发现受信任CA为止。

SSL证书链就是证书列表中的根证书、中间证书到终端用户证书。

2. SSL证书链举例

假设用户从Qcloud机构购买证书,域名是example.qcloud.

Qcloud机构不是一个根证书颁发机构。换句话说,它的证书并不是直接嵌入在web浏览器,因此它不能被明确的信赖。

Qcloud机构使用由中间Qcloud证书颁发机构阿尔法颁发的证书
中间Qcloud CA阿尔法使用由中间Qcloud证书颁发机构贝塔颁发的证书
中间Qcloud CA贝塔使用由中间Qcloud证书颁发机构伽马颁发的证书
中间Qcloud CA伽马使用由The Root of Qcloud颁发的证书
The Root of Qcloud是一个根CA。该证书是直接嵌入在您的web浏览器中,因此可以被信任。

以上的例子中,SSL证书链是由以下6个证书组成的:

终端证书:颁发给example.qcloud,发行商:Qcloud机构
中间证书1:颁发给example.qcloud,发行商: 中间Qcloud证书颁发机构阿尔法
中间证书2:颁发给中间Qcloud证书颁发机构阿尔法,发行商: 中间Qcloud证书颁发机构贝塔
中间证书3:颁发给中间Qcloud证书颁发机构贝塔,发行商: 中间Qcloud证书颁发机构伽马
中间证书4:颁发给中间Qcloud证书颁发机构伽马,发行商:The Root of Qcloud
根证书: 颁发给The Root of Qcloud,由The Root of Qcloud颁发
其中证书1 称为终端用户证书,证书2-5被称为中间证书。证书6被称为根证书。

当用户安装终端证书example.qcloud时,必须将所有的中间证书捆绑,并与终端证书一起安装。如果SSL证书链无效或被受损, 则用户的证书就不被某些设备信任。

posted on 2017-06-05 14:55  IT超级码农  阅读(862)  评论(0编辑  收藏  举报