证书链(The Certificate Chains)

 

名词解释 写道

DN (Distinguished Name) 标识名， 包含一些指定实体身份的字段 ，如通用名，组织等等
CSR(Certificate Signing Request)数字证书签名请求 其中包含了你的公钥和DN
三级证书 是指用户的SSL证书是在"受信任的根证书颁发机构"下的"中级证书颁发机构"下颁发的证书，请注意，这里的级别是指证书路径的级数(Level)，要与证书的身份验证等级(Class)区分开 来，Class 3证书的身份认证过程要比Class 2证书的身份认证过程严格。

 

在实际使用中，为了提高网站的安全性，我们提供了https的访问的方式，https访问需要证书。很多时候为了降低成本，我们都是使用自签名的证书。但是自签名的证书不能被浏览器所信任。也就是不能起到身份证明的作用了。

首先我上一个我们所使用的数字证书的图。

 

这是一个三级证书，我们将自己生成的CSR提交给签名商，他们用中级证书机构的私钥Private Key给我们的签名成证书。而他们的的证书又是通过Root CA颁发的（即Root CA通过它的私钥对中级机构提交的CSR进行了签名）。

签名的原理如下图。

 下面是证书有效性验证的图。这就是证书链的概念所在。

 比如在验证我们sso证书的有效性的时候，会一层层的去寻找颁发者的证书，直到自签名的根证书，然后通过相应的公钥再反过来验证下一级的数字签名的正确性。

直到sso的。（当然证书还有时间限制等条件）

 
其实证书颁发机构是一个树形结构的。