ca证书体系介绍

2024年3月29日发(作者：)

ca证书体系介绍

CA（Certificate Authority，证书颁发机构）证书体系是一种

用于确保网络通信安全的体系结构。该体系通过使用数字证书，特别

是公钥证书，来验证通信中涉及的实体的身份。以下是 CA 证书体系

的主要介绍：

1. CA 的角色：

• 根证书颁发机构（Root CA）： 根 CA 是证书体系的最高级别，

负责签发下级 CA 的证书。根 CA 的证书通常内置在操作系统或浏

览器中，用于验证其他 CA 的身份。

• 中间证书颁发机构（Intermediate CA）： 中间 CA 由根 CA

签发证书，可以签发其他实体的证书，包括用户、服务器等。

• 终端证书颁发机构（End-entity CA）： 终端 CA 是最终用户

或服务器的证书颁发机构，它们向最终实体颁发数字证书，以用于安

全通信。

2. 数字证书：

• 公钥证书： 数字证书包含公钥及其关联的身份信息，用于验

证持有该证书的实体的身份。证书通常包括持有者的公钥、持有者的

身份信息、颁发机构的签名等。

• 私钥： 证书的持有者保留与其关联的私钥，私钥用于数字签

名和解密过程。

3. 证书颁发流程：

1 / 3

1. 请求证书： 实体生成一对公钥和私钥，然后向 CA 提交证

书请求（CSR）。

2. CA 验证： CA 验证证书请求中的信息，确保请求者有权获

得证书。

3. 证书签发： CA 签发数字证书，将证书中的公钥与请求者

的身份信息关联，并使用 CA 的私钥进行签名。

4. 证书分发： CA 将签名的证书返回给请求者。

4. 证书撤销列表（CRL）：

• 为应对因证书被盗用或私钥泄漏等情况，CA 可以发布 CRL，

列出所有被撤销的证书。系统在验证证书有效性时会检查 CRL。

5. OCSP（在线证书状态协议）：

• OCSP 是一种用于检查证书状态的协议，它允许系统向 CA 查

询证书的撤销状态，而不必下载整个 CRL。

6. SSL/TLS 中的应用：

• 在 SSL/TLS 安全通信中，服务器通常会使用 CA 签发的证书，

以确保客户端能够验证服务器的身份。

7. SSL/TLS 握手流程：

1. 客户端Hello： 客户端向服务器发送SSL握手请求，并发

送自己支持的加密算法和其他参数。

2. 服务器Hello： 服务器选择加密算法，并将其证书发送给

客户端。

2 / 3

3. 证书验证： 客户端验证服务器的证书的有效性，包括证书

链的验证。

4. 密钥交换： 使用服务器的公钥加密生成一个随机对称密钥，

并发送给服务器。

5. 通信： 使用对称密钥进行通信，保证通信的机密性和完整

性。

CA 证书体系通过这样的方式构建了一个信任链，确保了在网络

通信中实体的身份验证和通信的安全性。

3 / 3