根证书,找不到根证书

随着SSL证书的普及，申请SSL证书的人也在增加，但许多使用SSL证书的用户实际上不太了解SSL证书。 只是申请使用SSL证书将站点从HTTP转换为HTTPS，最终用户获得SSL证书也只是证书链的一部分。 本文介绍了SSL证书的根证书和中间根证书。 什么是根证书？ 根证书是CA机构发行SSL证书的核心，是信任链的起点。 根证书是指浏览器对SSL证书的每个浏览器是否都有根证书存储。 一些浏览器使用自己的根证书存储，一些浏览器使用第三方根证书存储。 根证书存储是下载客户端浏览器时预先下载的根证书的集合。 因此，根证书非常重要，因为它允许浏览器自动信任使用私钥签名的SSL证书。 受信任的根证书属于证书颁发机构(CA )，CA机构是验证和颁发SSL证书的组织机构。 什么是证书链？ 浏览器如何认证受信任网站的SSL证书？ 事实上，客户端访问服务器时，浏览器会检查SSL证书并快速验证SSL证书的真实性。 浏览器验证SSL证书认证的操作基于证书链的内容。 那么证书链是什么？ 用户在获取SSL证书之前，首先生成证书签名请求(CSR )和私钥。 在最简单的迭代中，用户将生成的CSR发送到证书颁发机构，使用CA局根证书的私钥签署用户的SSL证书，并将SSL证书发送回用户。 当浏览器检测到SSL证书时，它将验证证书是否由受信任的根证书之一签名。 已使用根私钥签名。 由于浏览器信任root，因此也信任根证书签名的证书。 证书链由信任锚(CA证书)和签名证书)两个环节组成。 锚证书CA环节可以签署中间证书中间证书的所有者可以使用自己的私钥签署另一个证书。 通过将这两者组合起来构成证书链。 什么是中间证书？ 证书颁发机构(CA )不直接从根目录颁发服务器证书(SSL证书)。 这是因为，如果发生非法发行或需要撤销根证书，用根签名的所有证书都将被撤销信任，因此这种行为非常危险。 因此，为了避免这种风险，CA机构一般引用中根。 CA机构使用其私钥对中间路由进行签名，使浏览器信任中间路由。 然后，CA机构使用中间根证书的私钥签署用户申请的SSL证书。 这条中间路线的形状可以重复很多次。 也就是说，使用中间路由签名另一个中间件，然后CA机构通过中间件签名SSL证书。 这是证书链的可视化过程，从上面的例子可以看出，CA机构只需要使用一个中间体来保持简单操作，但实际上真正的证书链通常很复杂。 数字签名有什么作用？ 当根证书以数字形式签署中间证书时，一些信任将被转发到中间证书。 签名是直接来源于收件人根证书的私钥，因此将自动受信任。 当浏览器或其他客户端检测到服务端SSL证书时，将接收与证书本身或证书相关联的公钥。 接下来，使用公钥解锁数字签名，以确定哪些公司签署了证书。 也就是说，客户端浏览器访问站点时，服务器用户的SSL证书将被验证，公钥加密的签名将被解锁。 解锁的签名将与签名的证书一起反馈到浏览器的受信任根证书存储区。 如果解锁的签名链接是浏览器中不受信任的根证书存储，则浏览器会显示该证书不安全。 根证书CA和中间根CA有什么区别？ 根证书CA是具有一个或多个受信任根的证书颁发机构。 也就是说，CA局植根于主要浏览器的可靠库。 中间类CA或子类CA是发布中间类根的证书颁发机构，不一定在浏览器信任库中有根证书，而是在受信任的第三方根上回收中间类根链接。 这称为交叉签名。

因此，一些CA机构颁发的证书不是直接出于根本原因颁发的，中间根签署证书可以增强安全层，减少发生错误和安全事件的可能性。 如果取消中间根而不是取消根证书和扩展名签名的证书，中间根颁发的证书将不再受信任。 实际上，目前有谷歌和其他主要浏览器撤销赛门铁克SSL证书的经典案例。 据悉，赛门铁克的SSL证书目前已发行数百万，似乎是一个难以恢复信任的项目。 但实际上，这是一项非常简单的工作。 这是因为您只需要从浏览器的根证书库中删除Symantec CA的所有根。 连锁渠道和日立数据库有什么区别？ 日立DBD归CA所有，并且可以直接颁发证书，从而简化了部署证书的过程。 链根是Sub CA用于颁发证书的内容，是中间证书，但中间根CA没有自己信任的证书，因此必须链接到第三方信任的CA。 链路由和HDS DBD的区别如下： 链路由需要相对复杂的安装方法，因为中间路由必须加载到承载证书的每个服务器和APP应用程序中。 链路由必须受链接的CA控制。 因为他们控制不了root用户，所以如果root CA停业，他们也会受到很大的牵连。 根证书和中间证书过期后，中间根必须在根证书之前，这使工作变得困难。 最后提到的证书颁发机构、证书链和加密签名的受信任根证书本质上是PKI或公钥基础架构。