面试题答案
一键面试SSL证书链构成
- 服务器证书:由服务器提供,包含服务器的公钥、域名等信息,是直接用于服务器身份验证和数据加密的证书。
- 中级证书:处于服务器证书和根证书之间,用于连接服务器证书与根证书。它由根证书颁发机构(CA)颁发给子CA,可能存在多级中级证书,形成证书链的中间环节。
- 根证书:是证书信任体系的最顶层,被操作系统、浏览器等广泛信任。根证书由受信任的CA自己签名颁发,包含CA的公钥等关键信息。
各部分在证书验证过程中的作用
- 服务器证书:
- 身份验证:客户端收到服务器证书后,首先检查证书中的域名是否与所访问的服务器域名一致,以确认连接的服务器身份真实可靠。
- 加密通信:客户端使用服务器证书中的公钥对通信数据进行加密,服务器用对应的私钥解密,保证数据传输的保密性。
- 中级证书:
- 传递信任:中级证书从根证书获取信任,并将这种信任传递给服务器证书。它验证上级证书(通常是更高级别的中级证书或根证书)的签名,同时用自己的私钥对服务器证书进行签名验证,在证书链中起到信任桥梁的作用。
- 根证书:
- 信任基石:作为信任的起点,客户端内置了受信任的根证书列表。当验证证书链时,从服务器证书开始,依次验证中级证书的签名,最终追溯到根证书。如果根证书在客户端信任列表中且签名验证通过,整个证书链被认为是可信的,从而建立起对服务器证书的信任。