SSL證書鏈(Certificate Chain)是什麼?
在SSL協議中,客戶端(如瀏覽器)爲了識別服務器身份,要求服務器提供證書(Certificate)。
那麼證書是什麼呢?
證書是由CA(Certificate Authority,證書認證機構)頒發的,其原理是數字簽名。CA通過其私鑰簽名證書。於是客戶端可以通過CA的公鑰驗證證書的合法性。
存在兩種CA,root CA(根CA)以及intermediate CA(中間CA)。root CA是自簽名的,intermediate CA則由上層CA簽名,每一層的CA都可以頒發證書。
關係如下所示:
證書鏈
root CA,所有的intermediate CA,以及鏈末端的用戶證書(end-user certificate),構成了完整的證書鏈。
只有提供了從end-user certificate到root CA的完整證書鏈,瀏覽器纔會認爲證書可信。
一般情況下,客戶端(如瀏覽器)中可能只安裝了root CA,或者root CA簽名的少數幾個intermediate CA。
因此,服務器必須提供部分的證書鏈,這個證書鏈的頂端,必須在客戶端中已安裝。
如果服務器提供的證書鏈,其頂端的CA無法在客戶端已安裝的CA庫中找到,該證書鏈被認爲不可信。