什么是证书颁发机构(CA)?
证书颁发机构(CA)是颁发安全套接字层(SSL)证书的可信实体。这些数字证书是数据文件,用于将实体与公共密钥进行加密链接。网络浏览器使用它们来验证网络服务器发送的内容,确保在线传输内容的可信度。
作为这些证书的提供者,CA 是互联网公钥基础设施(PKI)可靠而重要的信任锚。它们有助于确保组织和用户的互联网安全。
CA 的主要目的是验证网站、域名和组织的真实性和可信度,让用户清楚地知道他们在与谁进行在线交流,以及该实体是否可以信任他们的数据。
当 CA 为一个网站签发数字证书时,用户就知道他们连接的是一个官方网站,而不是黑客为窃取他们的信息或金钱而创建的虚假或欺骗性网站。
证书颁发机构的关键作用
作为 PKI 不可分割的一部分,证书颁发机构扮演着多重关键角色:
- 签发数字证书;
- 帮助建立互联网上通信实体之间的信任;
- 验证域名和组织以确认其身份;
- 维护证书吊销列表。
数字证书的工作原理
数字证书的主要作用是验证所颁发实体的身份。它还能加密互联网上的通信并确保其安全,维护用它签署的文件的完整性,确保第三方在文件传输过程中无法篡改文件。
数字证书包含所颁发实体的相关信息。通常包括其名称、联系信息、组织机构、域名、公共密钥、证书签发和到期日期等。数字证书中通常还包括签发 CA 的名称及其数字签名。
在数字证书中,数字签名证明证书是由可信 CA 签发的,未经任何其他方修改。
SSL/TLS 证书的工作原理
传输层安全(TLS)协议使用 SSL 证书对超文本传输协议安全(HTTPS)的数据流进行加密和验证。SSL 加密协议通过连接到网站的网络浏览器,促进互联网上的安全加密连接。SSL 在 HTTP 的基础上创建 HTTPS 连接。
SSL 证书有时也称为 SSL/TLS 证书或简称 TLS 证书。TLS 是 SSL 的升级版本。
与 SSL 类似,HTTP 也是在 TLS 的基础上分层创建 HTTPS 的。它对其他可读数据进行加密,为需要更高的隐私和安全性的应用程序和网站(如涉及银行、税务和电子商务的应用程序和网站)提供更强的保护。TLS 还能保护数据传输端点之间的隐私,提高数据完整性,使黑客无法截获或泄露私人数据。
当网络浏览器通过 HTTPS 启动安全连接时,SSL/TLS 数字证书就会发送到网络浏览器。浏览器会检查证书中的信息,并根据自己的根证书存储进行验证。这样,证书就能确保用户浏览器与组织的网络服务器或网站的网络服务器之间的安全加密连接。
证书颁发机构如何颁发数字证书
SSL/TLS 证书可对网站进行身份验证,确保网站安全,并促进安全加密连接。它们通过在浏览器中显示挂锁图标,让用户知道自己正在访问一个真实的网站。
作为 PKI 的重要组成部分,SSL/TLS 证书需要数字证书才能工作。这就是 CA 的作用所在。
实体(组织或个人)可以向 CA 申请数字证书。首先,它会生成一个密钥对,其中包括以下内容:
- 私钥,该密钥始终处于保密状态,不得向任何人(包括 CA)出示
- 申请人还生成一个证书签名请求(CSR),这是一个编码文本文件,其中指定了将包含在证书中的信息,如以下内容:
- 域名;
- 附加或替代域名,包括子域;
- 组织;
- 联系方式,如电子邮件地址。
CSR 中包含的信息取决于证书的预期用途及其验证级别。上述两个过程通常在安装证书的服务器或工作站上完成。
然后,申请人将 CSR 发送给 CA,由 CA 核实 CSR 中的信息和申请人的身份。然后,CA 生成数字证书,用私钥对其进行数字签名,并将证书发送给申请人。
此时,该数字证书可由网络浏览器等使用 CA 的公开密钥进行验证。浏览器也可以使用证书来确认数字签名内容是由持有相应私钥的合法实体发送的,并且该信息在由该实体签名后没有被修改过。
CA 通常直接接受申请人的请求。有时,它们将认证申请人的任务委托给注册机构(RA)。注册机构收集和验证数字证书请求,然后把这些请求提交给 CA,由 CA 签发证书,再通过注册机构转交给申请人。
注册机构还可用于市场营销和客户支持。CA 必须限制 RA 在分配给 RA 的域名空间内注册证书。
根证书和中间证书
CA 在信任链(由根证书、中间证书和 SSL 证书组成的分级信任模式)中扮演着重要角色。CA 的活动从根证书开始,根证书是信任 CA 签发的所有证书的最终依据。
根证书以及与该证书相关的私人密钥受到最高级别的安全保护,通常离线存储在受保护的设施中。它也可以存储在设备上,除非需要证书时才会断电。
CA 将使用该根证书创建中间证书,即用于签署授权机构签发的数字证书的证书。根证书绝不能直接用于签署数字证书。不同的中间证书支持不同的用途。
这既能让公众信任所签发的证书,又能在中间证书过期或被吊销时保护根证书。注册中心也可使用中间证书签发数字证书。
数字证书的类型
CA 不仅仅签发 SSL/TLS 证书。它们可以针对不同的使用情况签发其他类型的证书,包括以下证书:
- 代码签名证书由软件出版商和开发商用来签署他们的软件发行版。然后,终端用户可以使用它们来验证和确认从供应商或开发商处下载的软件。
- 电子邮件签名证书允许实体使用安全/多用途互联网邮件扩展协议对电子邮件进行签名、加密和验证,以确保电子邮件附件的安全。
- 对象签名证书可对任何类型的软件对象进行签名和验证。
- 用户/客户端签名证书或签名验证证书可帮助个人处理各种身份验证需求。