SSL链如何工作？

为什么需要中间证书颁发机构？何时使用中间证书？如何验证从中间证书到根证书的链？链接到根证书的中间证书的示例是什么？

为什么需要中间证书颁发机构？何时使用中间证书？

有时，为了保护根CA的私钥，它存储在一个非常安全的位置，仅用于签署一些中间证书，然后用于颁发最终实体证书。在妥协的情况下，可以快速撤销中间体，而无需重新配置每台机器以信任新的CA.

另一个可能的原因是授权：例如，像Google这样经常为自己的网络使用许多证书的公司将拥有自己的中间CA.

如何验证从中间证书到根证书的链？

通常，最终实体（例如，SSL / TLS Web服务器）为您提供整个证书链，您所要做的就是验证签名。

该链中的最后一个是根证书，您已将其标记为受信任。

例如，当你有一个链[user]→[intermed-1]→[intermed-2]→[root]时，验证是这样的：

1. [user]是否将[intermed-1]作为其“Issuer”？

2. [用户]是否通过[intermed-1]的密钥拥有有效签名？

3. 并[中间物-1]已[中间物-2]作为它的“发行者”？

4. 难道[中间物-1]有一个有效的签名[中间物-2]的关键？

5. 请问[INTERMED-2]有[根]作为其“发行人”？

6. 难道[中间物-2]有一个有效的签名[根]的关键？

7. 由于[root]位于链的底部并且自身为“Issuer”，它是否标记为可信？

这个过程一直都是一样的; 中间CA的存在和数量无关紧要。用户证书可以直接由root用户签名，并以相同的方式验证。

链接到根证书的中间证书的示例是什么？

有关包含三个或四个证书的链，请参阅https://twitter.com/或https://www.facebook.com/的证书信息。有关Google自己的证书颁发机构的示例，另请参阅https://www.google.com/。