一些概念

  • CA 是 Certificate Authority 的缩写,也叫“证书授权中心”。

  • CA 证书就是由 CA 机构发布的数字证书。

  • SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL3.0 版本以后又被称为 TLS。SSL 采用了两种手段:身份认证和数据加密,来保证网络通信的安全和数据的完整性。身份认证就需要用到 CA 证书了。

  • 证书之间的信任关系:就是用一个证书来证明另一个证书是真实可信的。

  • 证书信任链:证书之间的信任关系是可以嵌套的。比如,C 信任 A1,A1 信任 A2,A2 信任 A3……这个叫做证书的信任链。只要你信任链上的头一个证书,那后续的证书,都是可以信任的。

  • 根证书:假设 C 证书信任 A 和 B,然后 A 信任 A1 和 A2,B 信任 B1 和 B2,则它们之间构成如下的一个树形关系(一个倒立的树):

    root-certificate

    处于最顶上的树根位置的那个证书,就是根证书。除了根证书,其它证书都要依靠上一级的证书,来证明自己。那谁来证明根证书的可靠呢?实际上,根证书自己证明自己是可靠的(或者换句话说,根证书是不需要被证明滴)。

    所以根证书是整个证书体系安全的根本。如果某个证书体系中,根证书出了问题(不再可信了),那么所有被根证书所信任的其它证书,也就不再可信了。

    https://blog.csdn.net/albertjone/article/details/78166059)