乍一看,SSL 证书似乎很简单。 您可以将其安装在服务器上,以确保访客敏感数据的安全,而且在过期之前,它都能正常工作。 大多数网站所有者很少深入研究 SSL/TLS 技术方面的问题。
他们让专业人员处理证书配置和更新。 很多人甚至不关心 根证书和中间证书的区别,但如果你想自己安装证书,就应该了解其背后的机制。
目录
- 根证书、中间证书和服务器证书
- 根程序和根存储
- 公钥基础设施
- 数字签名
- 什么是 SSL 信任链?
- 什么是根 SSL 证书?
- 什么是中级 SSL 证书?
- 什么是服务器 SSL 证书?
- 根证书和中间证书有什么区别?
- 如何判断证书是根证书还是中间证书?
根证书、中间证书和服务器证书
没有经验的用户如果想自己安装 SSL 证书,就会大吃一惊。 他们一打开 CA(证书颁发机构)通过电子邮件发送的 ZIP 文件夹,就会发现 SSL 文件不是一个,而是几个。
其中一个是为您的域颁发的服务器证书;另一个是中间证书,最后还有根证书。 中间证书将服务器证书与根证书连接起来。 它们共同构成了 SSL 信任链。 如果链中缺少一个组件,浏览器就不会信任服务器的 SSL 证书,并会发出 HTTPS 警告。
等等,什么? 服务器证书、中间证书、根证书、信任链,这些对新手来说都有点太多了。 如果你也是其中之一,不用担心,在本文中,我们将解释根证书和中间证书的区别,以及为什么它们对 SSL/TLS 的工作方式至关重要。 不过,首先要介绍一下将它们连接在一起的结构。
根程序和根存储
根证书是整个 SSL/TLS 架构的关键要素,因为它能验证最终用户证书并确保一切就位。 黑客攻击根证书是最糟糕的情况,因为它会危及所有中间证书和服务器证书。
为了更有效、更安全地管理根证书及其公开密钥,领先的技术公司开发了根程序,除了严格遵守准则和规定外,还包括一个根存储库。
根证书存储包括预下载的根证书(及其公钥),这些证书会保存在设备的操作系统或第三方软件(如网络浏览器)中。 以下是几个常用根程序的例子。
- 苹果
- 谷歌
- Mozilla
- 微软
虽然并非所有根项目都要求完全一致,但它们都严格遵守 CA/B 论坛的基准要求。
公钥基础设施
公钥基础设施(PKI)是 SSL 行业的基础,因为它执行证书签发和用户验证背后的复杂流程。 公用密钥和私人密钥共同在网络上对敏感数据进行加密和解密。
SSL 证书包含公钥,而源码服务器拥有私钥。 当浏览器尝试连接服务器时,SSL 握手会使用公钥加密来识别源服务器并交换数据。 如果网站的 SSL 证书无效,连接将不安全。 进一步了解SSL 证书及其工作原理。
数字签名
数字签名是高级电子签名,需要通过与之相关的密钥或证书进行身份验证。 就 SSL 而言,可以将它们视为数字认证。
如 SSL 信任链图所示,根证书对中间证书进行数字签名,并将部分信任传递给中间 SSL。 后者是自动可信的,因为签名直接来自根。
浏览器使用公钥验证数字签名和服务器(终端用户)证书。 它会检查 SSL 信任链中的每张证书,直到浏览器根目录中预装的最终根证书。 如果浏览器能识别所有链证书,它就不会信任你的 SSL 证书。
什么是 SSL 信任链?
让我们回到信任链,看看整个画面。 SSL 信任链是一个有序的证书列表,它允许接收方(网络浏览器)验证发送方(安全服务器)和 CA 的可靠性。
下图说明了信任链的运作方式:
您还可以点击任何网站的挂锁,选择 “认证路径 “选项卡,检查 SSL 链信任度。 如果查看 SSL Dragon 的认证路径,你会看到从上到下依次是根证书、中间证书和服务器证书(SSL Dragon 使用 Cloudflare SSL 证书作为 CDN 服务的一部分)。
现在,您已经了解了信任链,让我们把每个要素放在显微镜下观察。
什么是根 SSL 证书?
根 SSL 证书位于信任层次结构的顶端,是公钥基础设施的支柱。 根 SSL 证书由受信任的证书颁发机构签署。 谁来决定哪个 CA 值得信赖? 一言以蔽之,浏览器和应用程序的安装包中都包含根存储。
根证书库是一个预先下载的列表,包含来自不同 CA 的可信根证书。 例如,如果 CA 根证书不在谷歌的根存储中,Chrome 浏览器就会将使用该 CA 的网站标记为不安全。 您可以阅读更多有关证书颁发机构和监管机构的信息。
根证书用于签发其他证书。 如果私人根密钥被盗,网络犯罪分子就会伪造自己的可信证书。 因此,所有由被黑客攻击的 CA 签发的现有证书都必须撤销。 如果根证书出了问题,CA 会迅速从所有根存储中删除,不复存在。
为了避免不可思议的事情发生,CA 采用了严格的安全程序。 它们将 CA 密钥存储在一个独特的硬件安全模块中。 此外,物理计算设备位于一个上锁的保险库中,保险库有钢门和警卫。
与商业证书不同,根证书的寿命更长。 以下是Sectigo(原Comodo CA)ECC 的有效期。 如您所见,它将在遥远的 2038 年到期。
什么是中级 SSL 证书?
直接从根证书向最终用户签发 SSL 证书过于危险。 为了进一步保护自己,CA 提出了另一层安全措施–中间证书。
根 CA 使用其私钥签署中间根 CA,反过来,中间 CA 使用其私钥向公众签发 SSL 证书。 中间证书(有些 CA 在根证书和最终用户证书之间使用多个中间证书)是信任的纽带。
浏览器需要它们来识别根 CA 并接受服务器证书。 这就是为什么 SSL 安装文件夹可能包含中间证书和主证书。 中间证书的有效期也比最终用户 SSL 证书长,但比根证书的有效期短。
什么是服务器 SSL 证书?
服务器 SSL 证书也称为主 SSL 证书或最终用户证书,由证书颁发机构颁发给你的域名。 它可以验证域名所有权,并根据验证级别验证公司的法律地位。
服务器证书由中间证书签署,而中间证书来自根证书。 服务器 SSL 证书的有效期为一年,是每个人在订购 SSL 时都会获得的证书。
要加密网站并激活 HTTPS,必须在服务器上安装 SSL 证书。 这就是服务器 SSL 证书的名称由来。
根证书和中间证书有什么区别?
根证书与中间证书的比较,归根结底是它们在信任链中的等级位置。 没有根证书或根 CA,就不会有中间证书或服务器证书。
下面是根证书和中间证书的区别:
1.它们的整体价值
根证书是整个 SSL 签发过程的核心。 如果根证书被泄露,签发证书的 CA 可能会破产。 另一方面,中间证书虽然也很重要,但归根结底只是中间环节,在信任链中的分量较轻。
2.数字签名序列
根证书使用私钥签署中间证书,而中间证书使用相同的密钥签署其他中间证书和服务器证书。
3.发放程序
证书颁发机构会对根证书进行签名,然后将其包含在各种应用程序和程序的根存储中。 为了更好地保护根证书,CA 使用中间证书作为根证书和服务器证书之间的 “中间人”。
4.寿命
根证书的有效期长达 10 到 20 年,而出于安全原因,中间证书的有效期较短。 随着信任链的发展,SSL 的有效期会逐渐缩短,最终用户证书的有效期只有一年。
5.存储协议
根证书存放在防弹硬件安全模块中,在静止的门后,并受到全天候的警卫监管。 至于中间证书,它们存储在服务器的安装目录中。
如何判断证书是根证书还是中间证书?
您可以通过检查证书本身来区分根证书和中间证书。 如果Issued to和Issued by字段相同,则是根证书,因为只有有效的证书颁发机构才能颁发受信任的根;否则,是中间证书。
区分它们的另一种方法是检查认证路径。 出现在列表最上方的证书是根证书,其次是中间证书和服务器证书。 如前所述,根证书的有效期最长,因此在比较根证书和中间证书时,也可以查看日期
最后的话
希望你现在已经完全掌握了数字证书的真正安全之处。 了解了根证书和中间证书的区别,你就解决了 SSL/TLS 的难题。 SSL 信任链是 SSL 证书无处不在且高效的原因之一。 另一种是高端加密 ,即使是最聪明的黑客也无法破解 。
常见问题
当你订购 SSL 证书时,CA 会以归档 ZIP 文件夹的形式提供安装文件。 在该文件中,您可以找到为您的域签发的服务器证书,以及包含根证书和中间证书的CA 捆绑文件。 有些 CA 可能会以单独的文本文件发送根证书和中间证书。
复制链接
如果在 CA 捆绑文件中收到根证书和中间证书,则在配置 SSL 证书时无需识别它们。 用任何文本编辑器打开该文件,你都会发现里面所有证书的顺序都是正确的。 如果您收到的根证书和中间证书是分开的,请检查文件名,因为文件名必须包含 “根 “或 “中间 “字样,以便于识别。
复制链接
要合并根证书和中间证书,需要按验证顺序将所有证书(不包括服务器证书)链起来。 最快捷的方法是复制根证书的内容,然后粘贴到中间证书下面。 合并文件的顺序如下
- 中级证书 1
- 中级证书 2
- 根证书来完成信任链。
复制链接
如果根证书丢失,解决办法是先下载受信任的根 CA,然后再尝试安装证书。 要修复丢失中间证书的错误,请确保已按照服务器所需的所有 SSL 安装步骤进行,包括以正确的顺序和文件格式上传中间证书。
复制链接
