顧名思義，證書鏈是由一串數字證書鏈接而成，為了弄清楚這個概念，先看看什么是數字證書。

一、數字證書的基礎知識

數字證書是用來認證公鑰持有者身份合法性的電子文檔，以防止第三方冒充行為。數字證書由 CA（Certifacate Authority） 負責簽發，關鍵內容包括 頒發s者、證書有效期、使用者組織、使用者公鑰 等信息。數字證書涉及到一個名為 PKI（Public Key Infrastructure） 的規范體系，包含了數字證書格式定義、密鑰生命周期管理、數字簽名及驗證等多項技術說明，不在這篇筆記中詳細展開。

我們借助下面的流程，看看 CA 是如何簽發一張證書，使用者又是如何驗證這樣證書的。這又涉及到了數字簽名技術，數字簽名技術又是基于公鑰密碼技術。

現實世界中，簽名是針對承諾的一種表現形式，手手段可以通過手寫簽字或蓋扣印章；而在數字世界中，簽名仍然是為了表示承諾，只是手段變成了二進制。

好，我們來看看 CA 數字簽名包括兩個過程：簽發證書（Signing） 和 驗證證書（Verification）

簽發證書的過程

撰寫證書元數據：包括 簽發人(Issuer)、地址、簽發時間、有效期 等，還包括證書持有者(Owner)基本信息，比如 DN(DNS Name，即證書生效的域名)、 Owner 公鑰 等信息

使用通用的 Hash 算法（如SHA-256）對證書元數據計算生成 數字摘要

使用 Issuer 的私鑰對該數字摘要進行加密，生成一個加密的數字摘要，也就是Issuer的 數字簽名

將數字簽名附加到數字證書上，變成一個 簽過名的數字證書

將簽過名的數字證書與 Issuer 的公鑰，一同發給證書使用者（注意，將公鑰主動發給使用者是一個形象的說法，只是為了表達使用者最終獲取到了 Issuer 的公鑰）

驗證證書的過程

證書使用者獲通過某種途徑（如瀏覽器訪問）獲取到該數字證書，解壓后分別獲得 證書元數據 和 數字簽名

使用同樣的Hash算法計算證書元數據的 數字摘要

使用 Issuer 的公鑰 對數字簽名進行解密，得到 解密后的數字摘要

對比 2 和 3 兩個步驟得到的數字摘要值，如果相同，則說明這個數字證書確實是被 Issuer 驗證過合法證書，證書中的信息（最主要的是 Owner 的公鑰）是可信的

上述是對數字證書的簽名和驗證過程，對普通數據的數字簽名和驗證也是利用了同樣的方法。

我們再來總結一下“簽發證書”與“驗證證書”兩個過程，Issuer（CA）使用 Issuer 的私鑰 對簽發的證書進行數字簽名，證書使用者使用 Issuser 的公鑰 對證書進行校驗，如果校驗通過，說明該證書可信。

由此看出，校驗的關鍵是 Issuer 的公鑰，使用者獲取不到 Issuer 的私鑰，只能獲取到 Issuer 的公鑰，如果 Issuer 是一個壞家伙，誰來證明 Issuer 的身份 是可信的？

這就涉及到一個信任鏈條了，也是這篇筆記本身要講述的事情，證書鏈。

二、證書鏈是什么

還是以百度為例，在瀏覽器上訪問 “www.baidu.com” 域名，地址連左側有一個小鎖的標志，點擊就能查看百度的數字證書，如下圖所示（使用的是Edge瀏覽器）

在圖片的頂部，我們看到這樣一個層次關系：

GlobalSign Root CA -> GlobalSign Organization Validation CA -> baidu.com

這個層次可以抽象為三個級別：

end-user：即 baidu.com，該證書包含百度的公鑰，訪問者就是使用該公鑰將數據加密后再傳輸給百度，即在 HTTPS 中使用的證書

intermediates：即上文提到的 簽發人 Issuer，用來認證公鑰持有者身份的證書，負責確認 HTTPS 使用的 end-user 證書確實是來源于百度。這類 intermediates 證書可以有很多級，也就是說 簽發人 Issuer 可能會有有很多級

root：可以理解為 最高級別的簽發人 Issuer，負責認證 intermediates 身份的合法性

這其實代表了一個信任鏈條，最終的目的就是為了保證 end-user 證書是可信的，該證書的公鑰也就是可信的。

結合實際的使用場景對證書鏈進行一個歸納：

為了獲取 end-user 的公鑰，需要獲取 end-user 的證書，因為公鑰就保存在該證書中

為了證明獲取到的 end-user 證書是可信的，就要看該證書是否被 intermediate 權威機構認證，等價于是否有權威機構的數字簽名

有了權威機構的數字簽名，而權威機構就是可信的嗎？需要繼續往上驗證，即查看是否存在上一級權威認證機構的數字簽名

信任鏈條的最終是Root CA，他采用自簽名，對他的簽名只能無條件的信任

說到無條件信任，也不用奇怪，尤瓦爾赫拉里在《人類簡史》中已經闡述過，基于虛構故事所建立的信任，最終將人類待到了今天。

還有一個小問題，Root 根證書從何而來呢？除了自行下載安裝之外，瀏覽器、操作系統等都會內置一些 Root 根證書，稱之為 Rrusted Root Certificates。比如 Apple MacOS 官網就記錄了操作系統中內置的可信任根證書列表。

macOS High Sierra 中可用的受信任根證書列表

---

證書鏈的基本原理就是這些，有一篇E文專門講述證書鏈可供學習參考，鏈接如下：What is the SSL Certificate Chain?

數字證書是一種普遍使用的身份認證方式，而另外一種認證方式，基于身份標識，也就是和PKI競爭的IBC（Identity-Based Cryptography）體系正在興起，學習了解中，敬請期待。

持續學習，青春永駐！

總結

以上是生活随笔為你收集整理的关于数字证书链的一点认知的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。