數字證書還包含一個授權鏈信息,舉個例子:如果你要申請休假1周,需要你的上司審批,你的上司需要他的上司同意,最終需要大老闆同意,那麼這一層層的授權,形成了一個授權鏈,大老闆是授權鏈的根(root),中間這些環節分別是被更接近root的人授權的。
比如蘋果開發者的APP簽名證書,該證書可以用來對APP進行簽名,該證書實際上是由蘋果的Worldwide Developer Relations Certificate Authority(WDRCA)授權簽名的,而它是由Apple Certificate Authority授權簽名的。在這個關係鏈中蘋果的CA是根。 蘋果CA根證書默認是內置在蘋果系統中的,所以WDRCA的可信性可以由蘋果內置的CA根證書來驗證其可信性。
Web相關的SSL證書頂部CA根,則就是上述提到的幾家公認的簽發機構,當我們需要Web做SSL的證書時,便可以向上述機構申請,通常向根機構申請費用都會比較高,也可以向一些二級授權機構進行申請,選擇根機構證書籤發的好處就是目前大多數的瀏覽器都會預裝內置了這些權威CA的公鑰證書,這樣,在使用這些權威CA簽發過的證書的時候,瀏覽器一般不會報風險提示。
總結
數字證書籤名的基礎是非對稱加密算法,利用了非對稱加密的身份驗證和防止信息篡改的特性來實現的,在一些其他方面比如HTTPS中密鑰交換用的就是非對稱加密的保密特性來實現的,在非對稱加密算法中RSA應用最廣。非對稱加密雖好,但卻有一個弊端,就是加解密比較耗時,所以一般都是配合對稱加密一起使用。
本文只是對數字證書做了概要的介紹,很多細節都未涉及到,如果各位對一些細節感興趣可以根據本文涉及的知識點進入更深入的學習。同時本文也未涉及到數字證書的管理以及數字證書的格式等知識的介紹,這些內容將在後續文章中爲大家整理和介紹。