SSL数字证书基本概念

CA机构

CA机构，即证书授权中心（Certificate Authority）或称证书授权机构。CA认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥合法性检验的责任。

SSL证书和SSL协议

安全套接层SSL（Secure Sockets Layer）协议是一种可实现网络通信加密的安全协议，可在浏览器和网站之间建立加密通道，保障数据在传输的过程中不被篡改或窃取。

数字证书是一个经权威授权机构数字签名，包含公开密钥的拥有者信息以及公开密钥的文件，是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、证书名称以及证书授权中心的数字签名。

SSL证书采用SSL协议进行通信，是由权威机构颁发给网站的可信凭证，具有网站身份验证和加密传输双重功能。SSL证书指定了在应用程序协议（例如，HTTP、Telnet、FTP）和TCP/IP之间提供数据安全性分层的机制。

它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL证书采用公钥体制，即利用一对互相匹配的密钥对进行数据加密和解密。每个用户自己设定一把特定的、仅为本人所知的私有密钥（私钥），并用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。

SSL证书部署到Web服务器后，您通过Web服务器访问网站时将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助您的Web服务器和客户端浏览器间建立可信的加密链接，从而保证网络数据传输的安全。

什么是根证书？

根证书是指CA机构颁发SSL证书的核心，是信任链的起始点。每个浏览器都有根证书库，有的浏览器是采用自主的根证书库，而一些浏览器则使用第三方的根证书库。根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的，因为它可确保浏览器自动信任已使用私钥签名的SSL证书。

受信任的根证书是属于证书颁发机构（CA），而CA机构是验证和颁发SSL证书的组织机构。

什么是中间证书？

CA机构不会直接使用根证书签发服务器证书（即SSL证书），因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书，则使用根证书签名的每个证书都会将不受信。

因此，为了避免这种风险发生，CA机构一般会引用中间证书。CA机构使用其私钥对中间证书进行签名，使浏览器信任中间证书。然后CA机构使用中间证书的私钥来签名用户申请的SSL证书。这种中间证书的形式可以重复多次，即使用中间证书给另一个中间证书，然后新的中间证书同样可以签署SSL证书。

这是证书链的可视化过程。从上述例子可看出，CA机构只需要使用一个中间证书就可以简单实现签名，但实际上真正的证书链通常要复杂的多。

如果证书链不完整就会导致下一级证书不受信任，所以，在安装服务器证书时，请确保你的证书链完整。如果缺少中间证书，可以参考下面的方法获取中间证书。

什么是证书链?

浏览器是如何鉴定信任网站的SSL证书？

其实，当客户端访问服务器时，浏览器会查看SSL证书并快速验证SSL证书的真实性。浏览器对SSL证书身份验证流程是根据证书链的内容而操作的。

证书链是什么？

用户在获取SSL证书之前，首先要生成证书签名请求（CSR）和私钥。在最简单的迭代中，用户将生成的CSR提交到证书颁发机构，然后使用CA机构的根证书的私钥对用户的SSL证书签名，并将SSL证书颁发给用户。

在证书链中，通常分为三级结构，根证书、中间证书和服务器证书。在正常的证书链顺序中服务器证书处于最低端，该证书包含了服务器域名，服务器公钥和签名值等。在其上一级则是中间证书，也就是由权威CA机构授权的二级机构，用来签发服务器证书。最上级就是根证书，也就是CA机构，对服务器身份进行校验时，需要验证整个证书链，由于浏览器中集成了权威CA机构的根证书，因此主要是校验中间证书和服务器证书的签名值是否正确，从而构成一条信任链。如下图所示：

csdn 博客用的证书如上，其中DigiCert为顶端根证书，GeoTrust CN RSA CA G1为中间证书， *.csdn.net 为服务器证书，

当你点击对应的证书，会显示颁发者之间的关系，这种关系便形成证书链。如下图所示：