數字證書的有效性驗證主要從三個方面: 1,數字證書有效期驗證
2,根證書驗證
3,CRL驗證
下面依次講解這三塊內容
1,數字證書有效期驗證
就是說證書的使用時間要在起始時間和結束時間之內。通過解析證書很容易得到證書的有效期
2,根證書驗證
先來理解一下什麼是根證書?
普通的證書一般包括三部分:用戶信息,用戶公鑰,以及CA簽名
那麼我們要驗證這張證書就需要驗證CA簽名的真僞。那麼就需要CA公鑰。而CA公鑰存在於另外一張證書(稱這張證書是對普通證書籤名的證書)中。因此我們又需要驗證這另外一張證書的真僞。因此又需要驗證另另外證書(稱這張證書是對另外一張證書籤名的證書)的真僞。依次往下回溯,就得到一條證書鏈。那麼這張證書鏈從哪裏結束呢?就是在根證書結束(即驗證到根證書結束)。根證書是個很特別的證書,它是CA中心自己給自己簽名的證書(即這張證書是用CA公鑰對這張證書進行簽名)。信任這張證書,就代表信任這張證書下的證書鏈。
所有用戶在使用自己的證書之前必須先下載根證書。
所謂根證書驗證就是:用根證書公鑰來驗證該證書的頒發者簽名。所以首先必須要有根證書,並且根證書必須在受信任的證書列表(即信任域)。
3,CRL驗證
CRL是經過CA簽名的證書作廢列表,用於證書凍結和撤銷。一般來說證書中有CRL地址,供HTTP或者LDAP方式訪問,通過解析可得到CRL地址,然後下載CRL進行驗證。
並且證書中有CRL生效日期以及下次更新的日期,因此CRL是自動更新的,因此會有延遲性。
於是呢,還有另外一種方式OSCP證書狀態在線查詢,可以即時的查詢證書狀態。
兩種證書狀態查詢方式的比較:
完