隨著SSL證書的廣泛應用,申請SSL證書的人也越來越多,但是很多使用SSL證書的用戶其實並不太瞭解SSL證書。他們僅僅是因為要把站點從HTTP轉換到HTTPS而申請使用SSL證書,而最終用戶也只是獲取SSL證書也是證書鏈的一部分而已。
大部分人沒有意識到最終用戶SSL證書只是證書鏈的一部分。那麼就讓我們一起來聊聊中間CA和根CA證書吧。SSL(或更準確地說,TLS)是大多數終端用戶幾乎一無所知的技術。
即使安裝了SSL證書的人也對SSL證書之外的事知之甚少,大多數人只是在服務器上安裝SSL證書,讓他們的網站可以開啟HTTPS服務。這就是為什麼當你開始提到中間證書CA、根證書CA時,大多數人的目光開始變得呆滯。那麼,下面就讓我們一起來好好了解吧!
什麼是根證書?
根證書,通常稱為可信根,是信任SSL/TLS的信任模型的中心。每個瀏覽器都包含根存儲。有些瀏覽器是自己運行,有些瀏覽器是使用第三方商店。根存儲是安裝在設備上的預下載根證書的集合。根證書是無價的,因為使用其私鑰簽名的任何證書都將被瀏覽器自動信任。可信根屬於證書頒發機構,即驗證和發佈SSL證書的組織。
什麼是證書鏈?
首先,我們先了解下,瀏覽器是如何信任一個網站的SSL證書的,瀏覽器會查看網站的SSL證書,並執行一個快速過程來驗證證書的真實性。證書鏈是什麼呢?要獲得SSL證書,您可以通過生成證書籤名請求(CSR)和私鑰開始。在其最簡單的迭代中,您將CSR發送到證書頒發機構,然後它用來自其根的私鑰對SSL證書進行簽名,並將其發送回來。
當瀏覽器看到SSL證書時,它看到證書是由一個可信的根簽名的(或者更準確地說,是用根的私鑰簽名的)。因為它信任根,因此,它信任該根下的任何證書。在這個例子中,服務器證書直接鏈接到根目錄。
證書頒發機構不直接從其根源發佈服務器證書(最終用戶SSL證書)。這是很危險的,因為如果出現任何錯誤發佈或要求撤銷每個使用root簽名的證書,那麼將立即不受信任。
因此,為了自我隔離,CAS通常會發出所謂的中間根。CA用它的私有密鑰對中間根進行簽名,這使得它可信。然後CA使用中間證書的私鑰來簽署最終用戶SSL證書。這個過程可以執行多次,其中中間根對另一箇中間根進行簽名,然後CA使用它來對證書進行簽名。
根證書與中間證書的區別
數字簽名扮演什麼角色?
在這種情況下,數字簽名有一種數字形式的公證。當根證書對中間證書進行數字簽名時,它實質上就是傳遞信任的作用。因為簽名直接來自可信根證書的私鑰,所以它是自動信任的。
無論何時向瀏覽器或設備提供SSL證書,它都會接收證書本身以及與證書相關聯的公鑰。使用公鑰,它解密數字簽名並查看它是由誰簽署的——什麼樣的證書籤署它。
當瀏覽器在網站上對最終用戶SSL證書進行身份驗證時,它使用提供的公鑰來解密簽名並將一個鏈接向上移動。它繼續重複這個過程——對簽名進行解密,並遵循鏈到對其簽名的證書——直到最終到達瀏覽器信任存儲區中的根證書之一。
如果它不能將證書鏈接回其可信根之一,它將不信任證書。
那麼,根CA和中間CA之間的區別是什麼?
這其實相當簡單。根CA是擁有一個或多個可信根的證書頒發機構。這意味著它們在主要瀏覽器的信任商店中紮根。中間CAS或子CAS是簽發中間根的證書頒發機構。它們在瀏覽器的信任存儲中沒有根,而是它們的中間根鏈接回可信的第三方根。這有時被稱為交叉簽名。
根證書和中間證書之間的區別,在這裡它可能會有點混亂。CAS通過發放中間人,然後與那些人簽署證書來增加安全層。這有助於在發生誤發佈或安全事件時最小化和劃分損壞。與其撤消根證書和它通過擴展簽名的每個證書,不如只撤消中間件,這隻會導致從中間件發出的證書組受到信任。
鏈式根和單根有什麼區別?
這實際上是我們最後一個問題的答案。CA擁有單個根。它可以直接頒發證書,使得部署證書和簡化安裝更加簡單。鏈式根是子CA用來頒發證書的內容。它是一箇中間證書,但是,因為Sub CA沒有自己的可信根,所以必須將其鏈接到具有可信根的第三方CA。
這也帶來了不同。這就是為什麼:鏈接根使得安裝更加複雜,因為中間根將需要加載到託管證書的每個服務器和應用程序上。鏈鎖的根在他們被束縛的CA的支配下。他們無法控制根部,所以如果根CA破產了,那麼後果是很嚴重的。
我們剛剛描述的——涉及證書授權、證書鏈和加密簽名的信任模型——本質上是PKI或公鑰基礎設施。瞭解了它,大家就可以瞭解企業如何部署私有CA和自簽名證書了。與可信CA一起工作,組織生成根證書和私鑰(這被稱為密鑰儀式)。然後,組織將根添加到自己的根存儲區,遍及所有的系統和設備。從那時起,組織就可以使用來自其根的私鑰自簽署的證書,並且它們將在其網絡上受到信任。
文章鏈接http://www.shujuba.net/info/462.html
閱讀更多 運維小筆記 的文章
