什么是中间证书,如何使用?

最后更新于 Dionisie Gitlan
What Is an Intermediate Certificate

在探索数字安全时,你会遇到中间证书这个术语。但什么是中间证书,为什么它如此重要?让我们来分析一下,了解中间证书如何融入 SSL/TLS 框架和更广泛的公钥基础设施(PKI)。

目录

  1. 什么是中间证书?
  2. 中间证书如何工作?
  3. SSL/TLS 中级证书的重要性
  4. 根证书 vs. 中间证书 vs. SSL 证书
  5. 中间证书类型
  6. 如何获取中级证书
  7. 中间证书的常见用途
立即获取 SSL 证书

什么是中间证书?

在 SSL/TLS 证书层次结构中, 中间证书位于根证书和最终用户证书之间。它的主要作用是从根证书颁发机构(CA)到终端实体(如网站或应用程序)使用的最终证书之间的信任桥梁。从技术上讲,它是一个包含公钥、签发机构签名和其他元数据的文件。

要形象地理解这一点,请想象一个证书链。位于顶端的是根证书–一个不直接签署所有证书的受信任机构。相反,它签发中间证书,然后由中间证书签发最终用户证书。这种层次结构有助于更有效地管理和保护数字证书。

中间证书如何工作?

以下是中间证书SSL/TLS 协议中的功能:

  1. 签发:根证书颁发机构 (CA)颁发中间证书。这些证书不直接用于网络服务器,而是连接根 CA 和终端实体证书。
  2. 证书签名请求(CSR):网站需要证书时,会生成CSR并发送给 CA。CSR 包括公钥和组织详情等信息。
  3. 签名和验证:CA 验证 CSR 并签发中间证书(CA 捆绑)和最终用户证书。中间证书由根 CA 的私钥签名,以确保其合法性。
  4. 信任链中间证书颁发机构签署最终用户证书。浏览器或客户端可通过信任链追溯到根证书,以确认信任。
  5. 建立信任:当用户连接到安全网站时,浏览器会检查整个证书链–从最终用户证书到中间 CA,最后到根证书。如果所有证书都是有效和可信的,那么连接就是安全的。
  6. 证书撤销和更新:如果中间证书和最终用户证书受损或过期,CA 可以撤销和更新这些证书。浏览器通过证书吊销列表(CRL)在线证书状态协议(OCSP)检查吊销状态,以确保证书有效。

SSL/TLS 中级证书的重要性

中间证书是必不可少的,原因有几个:

  • 增强安全性:通过使用中间证书,根 CA 可以保证其证书的安全。如果中间证书受损,根证书仍然完好无损。
  • 高效管理:中间证书可简化大量证书的管理。它们允许有效授权证书签发,减少根证书的风险。
  • 灵活性和控制:有了多个中间 CA,企业就可以针对不同需求创建不同的认证路径。这种设置可以在管理证书时实现更好的控制和灵活性。

根证书 vs. 中间证书 vs. SSL 证书

了解根证书和中间证书之间的区别可以帮助你排除各种 SSL 相关问题。

  • 根证书由根 CA 签发,是存储在主要浏览器和操作系统根存储中的最高级别证书。它们是自签名的,建立了最高级别的信任。
  • 中间证书:这些证书由根 CA 或其他中间 CA 签发。它们是认证路径中的桥梁,用于签署最终用户证书
  • SSL 证书:这些证书安装在网络服务器上,由中间 CA 签发。它们对服务器和客户端之间的数据进行加密

中间证书类型

不同类型的中间证书包括

  • 单一中间 CA:为特定目的或实体签发证书的直接 CA。
  • 交叉签名证书:由多个根 CA 签名的中间证书,以确保不同根存储的兼容性。
  • 其他中间证书:针对特殊用例或由具有不同角色和权限的不同中间 CA 签发。例如,Sectigo为特定用途签发不同类型的中间证书。其中一个例子是他们的代码签名中间 CA,专门用于签发代码签名证书。该中级 CA 可确保软件和应用程序的验证和安全。
购买 SSL 证书可节省 10% 的费用

如何获取中级证书

CA 向管理自己下属 CA 的组织签发中间证书。普通用户通常不会生成或申请中间证书。

要获得一个,您必须与一个受信任的 CA 建立关系,该 CA 允许您充当从属 CA。

如果你是一个管理公钥基础设施(PKI)的组织,你可以向 CA 申请中间证书。你通常需要证明你的系统的安全性以及你负责任地签发证书的意图。

在签发最终用户证书时,CA 通常会提供一个CA 捆绑包,其中包括建立从最终用户证书到根证书的信任链所需的中间证书。该证书捆绑包安装在服务器上,即使在旧版本上,浏览器也能正确验证证书。

中间证书的常见用途

证书颁发机构在向客户颁发证书时使用中间证书来保护其根证书。以下是它们的作用:

  • 委托信任:根证书很少直接使用,因为破坏根证书会破坏对整个 CA 的信任。中间证书充当中间人,代表根证书签署最终用户证书,并保留根证书。
  • 证书链:当 CA 签发中间证书时,会将其链接到根证书和网站或服务器使用的最终证书之间。该证书链可通过浏览器和系统验证证书的真实性。
  • 签发不同类型的证书:中间证书允许 CA 为不同目的(如网站的 SSL/TLS代码签名电子邮件安全)创建和管理证书,而不会危及根证书。

中间证书的用途

  • 公共 CA 基础设施:Let’s Encrypt、DigiCert 等主要 CA 通过中介机构签发 SSL/TLS 证书。这种做法可确保 CA 根证书的安全。
  • 专用 PKI 系统:拥有内部公钥基础设施(PKI)的企业使用中间证书来管理组织内部的信任。它们可能为不同的部门或应用程序颁发中间证书,每个部门或应用程序负责签署其最终用户证书。
  • 下级 CA:大型机构可从主 CA 获得中间证书。这些组织可以充当下级 CA,为特定域或服务签发证书。

运行中的中级 CA 证书

想象一下,网上商店使用 SSL/TLS 来确保交易安全。以下是中间证书的工作原理:

  1. 根 CA:向受信任的 CA 签发中间证书。
  2. 中间 CA:签署商店网络服务器的 SSL 证书。
  3. 终端用户证书:安装在服务器上,用于加密服务器和用户之间的数据。
  4. 验证:用户的浏览器通过中间证书追溯 SSL 证书到根证书,确认连接的安全性。

底线

总之,中间证书在 SSL/TLS 加密中保持了一条安全、可验证的认证路径。它们可确保为网络通信提供安全保障的数字证书可靠可信。无论你是 IT 专业人员、网络开发人员,还是刚刚开始网络安全工作,了解中间证书的作用将有助于你管理和保护你的数字环境。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

立即订购
龙飞行的详细图像
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.

相关帖子
使用 OpenSSL 在 Linux 中检查 SSL 证书
如何在 Linux 中使用 OpenSSL 检查 SSL 证书
什么是 OpenSSL
什么是 OpenSSL? OpenSSL 如何工作?
什么是 443 端口
什么是 443 端口以及如何使用它
OCSP 订书机
什么是 OCSP 装订以及如何使用?
完美的前向保密
什么是网络安全中的完美前向保密?