SSL证书链作为公钥基础设施(PKI)的一项关键功能,它支持许多与安全相关的服务,包括数据机密性、数据完整性和最终实体身份验证,它使得互联网上的安全在线通信成为可能。那么SSL证书链是什么?SSL证书链如何工作呢?又该如何获取呢?下面的内容将为您详细介绍。
SSL证书链是什么?
SSL证书链,英文全称全称为Secure Sockets Layer Certificate Chain,是一个有序的证书列表,由多个证书组成,包含SSL证书和证书颁发机构(CA)证书,其使接收方能够验证发送方和所有CA是否可信。SSL证书链路径以SSL证书开始,链中的每个证书都由链中下一个证书所标识的实体签名。
通俗来说,SSL证书链指的是你的SSL证书,以及如何将其链接回受信任的证书颁发机构。为了使SSL证书得到信任,它必须可以追溯到它所签署的信任根。
SSL证书链具有以下属性:
每张证书(最后一张除外)的签发者都与列表中下一张证书的主题一致。
每张证书(最后一张除外)都应由链中下一张证书对应的密匙签名(即一张证书的签名可通过下一张证书所含的公开密钥验证)。
列表中的最后一个证书是信任锚:您信任的证书,因为它是由某个值得信赖的程序交付给您的。信任锚是由依赖方用作路径验证起点的CA证书(即CA的公开验证密钥)。
一条完整的SSL证书链包括三部分,分别是根证书、中间证书和服务器证书。
根证书——根证书是属于证书颁发机构的数字证书,是证书链的最顶端,受到CA的严密保护。它会被预装到浏览器的受信任的根证书列表中。
中间证书——中间证书是根证书的分支,就像树的分支一样。它们是连接受保护的根证书和向公众发布的服务器证书之间的中间人。一个证书链中至少有一个中间证书,但也可能有多个。根证书颁发机构不直接签发域名证书,而是签发中间证书,由中间CA进一步颁发域名证书。这样做的好处是即使中间证书受到损害,根证书的安全性仍然得到保障。
服务器证书——服务器证书是颁发给用户需要保护的特定域的证书。
SSL证书链如何工作?
SSL证书链也被称为信任链,这是因为当任何浏览器收到网站的SSL证书时,都需要验证其合法性。浏览器会从服务器证书开始,验证包括根证书在内的所有证书,以建立信任。它会使用服务器证书的公开密钥来匹配签名,然后再以同样的方式检查中间证书的公开密钥和签名。然后继续向后追踪,直到最终到达浏览器在其信任存储中保存的根证书。如果SSL证书是有效的,且能链回到受信任的根证书,它就会被信任,网站将在网址栏中显示挂锁符号或“HTTPS”。如果无法链回受信任的根证书,浏览器就会对该证书发出警告,网站将在网址栏中显示“不安全”。
如何获取SSL证书链?
1、邮件中获取:
通常CA在颁发证书时会将包含根证书、中间证书的SSL证书链一同发送到您申请时填写的邮箱,比如:如果您收到的Sectigo证书文件,它包含下方五个部分,如下图:
2、使用SSL证书链下载工具
SSL证书链下载工具只需输入域名就可获取到该证书链,并且是包括根证书、中间证书在内的SSL证书链。此工具可帮助解决因证书链不完整而导致的网站部署SSL证书后仍被提示不受信任的问题。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。