数字证书是用于标识实体身份的电子信息,它由证书认证机构(CA)签发。一张数字证书中包含有如下信息:
签发者名(Issuer Name),即证书签发机构的名字(即证书认证机构)
主体名(Subject Name),即证书持有者的名字
证书的有效期限(Valid Period)
证书序列号(Serial Number)
证书持有者的公钥(Public Key)
证书的密钥用途(Key Usage)
•••
CA对该证书的数字签名(Digital Signature)
其中,签发者名、主体名采用的是X.500定义的甄别名(Distinguished Name,DN)格式,甄别名中通常包含有实体的名字,称为通用名(Common Name,CN),以及实体所在的机构(O)、部门(OU),所在的国家(C)、省或州(S)、邮件(E)等信息。证书序列号在对应的证书签发CA下是唯一的。
由于数字证书的主要目的是发布证书持有者的公钥,因此,数字证书又称为公钥证书。SSL证书是签发给Web服务器的X509证书,其通用名(Common Name)是网站的域名,如https://www.ert7.com/。
最终实体证书是由证书签发机构(CA)的私钥签名的,而该CA私钥对应的公钥用于对最终实体证书的签名进行验证,以确定该证书的签名是否有效、证书是否由该证书认证机构签发。实际上,证书签发机构的公钥也是通过一个数字证书发布的,这个包含有认证机构公钥的数字证书,称为CA证书。该CA证书的主体名(即证书持有者名字),就是用该CA证书对应的私钥签发的最终实体证书中的签发者名(即证书的签发机构名字)。
与最终实体证书类似,这个CA证书也是由认证机构的一个私钥签名的,对CA证书进行签名的私钥有下列两种可能的情形:
1)该私钥是认证机构的另一个公开密钥对的私钥
这时,这个CA证书的主体名与签发者名必须不同(即使它们是指向同一个认证机构);该私钥对应的公钥,也对应有一个CA证书,称为前一个CA证书的上级CA证书。该上级CA证书有可能再由认证机构的另一个公开密钥对的私钥签名,即它可能也有它的上级CA证书,或者,该私钥属于接下来的情况。
2)该私钥与CA证书中的公钥对应(即它们构成了一个公开密钥对)
这时,这个CA证书的主体名与签发者名必须相同,该CA证书是一个自签名的数字证书,称为根CA证书。
从上面介绍,我们可以看到,从最终实体证书的签发者出发,我们可以找到对其签名的认证机构私钥对应的CA证书,称为最终实体证书的签发CA证书;再从该签发CA证书的签发者,我们又可以找到其上级CA证书;重复这个过程,直到遇到一个自签名的根CA证书为止(如图1所示)。这一系列的最终实体证书、CA证书形成了一个证书链,也称为证书信任链,证书信任路径。证书链的长度在理论上是没有限定的,它可以只包含有根CA证书,也可以包含有多个中级CA证书(根CA证书以下的CA证书都称为中级CA证书),甚至可以是仅包含一个自签名的最终实体证书(这种自签名 最终实体证书通常用于特殊的场合)。
