"); //-->
非对称加密需要一对秘钥:公钥和私钥。当通讯的一方拥有了一对非对称密钥后,如何将公钥安全的传递给另一方?要解决以上问题就引入了CA这个组织,电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA证书,顾名思义,就是CA颁发的证书。证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。
CA证书的作用:1、验证网站是否可信(针对HTTPS)。2、验证某文件是否可信(是否被篡改)。
CA证书信任链就是说:A 信任 B,而 B 信任 C,所以 A 也信任 C。事实上,系统中并没有内置所有 CA 机构的证书,只是内置了顶级 CA 机构的证书,而其他机构则通过信任链的方式进行证书的颁发。假设 A 是顶级 CA,系统中内置该机构的证书。B 是 A 的子机构,A 给 B 颁发了 CA 证书,B 给 C 颁发了 CA 证书,客户端验证 C 的证书的过程如下:
按照上文提到了证书验证方式,检查 C 的证书。
由于 C 的证书是由 B 颁发的,因此需要先获取 B 的证书,然后使用 B 的证书中的公钥解密指纹并对比信息摘要。
为了保证 B 的公钥真实可靠,需要验证 B 的证书,而 B 的证书是由 A 颁发的,所以使用 A 的公钥解密指纹并对比信息摘要。
A 的公钥内置在系统中,认为是真实有效地。
通过这种信任链的机制,就能完成对证书的认证。可见,这里的关键之处在于顶级 CA 证书,这类证书通常系统内置,世界公认可信。
*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。