非对称加密需要一对秘钥：公钥和私钥。当通讯的一方拥有了一对非对称密钥后，如何将公钥安全的传递给另一方？要解决以上问题就引入了CA这个组织，电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA证书，顾名思义，就是CA颁发的证书。证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。

CA证书的作用：1、验证网站是否可信（针对HTTPS）。2、验证某文件是否可信（是否被篡改）。

CA证书信任链就是说：A 信任 B，而 B 信任 C，所以 A 也信任 C。事实上，系统中并没有内置所有 CA 机构的证书，只是内置了顶级 CA 机构的证书，而其他机构则通过信任链的方式进行证书的颁发。假设 A 是顶级 CA，系统中内置该机构的证书。B 是 A 的子机构，A 给 B 颁发了 CA 证书，B 给 C 颁发了 CA 证书，客户端验证 C 的证书的过程如下：

按照上文提到了证书验证方式，检查 C 的证书。

由于 C 的证书是由 B 颁发的，因此需要先获取 B 的证书，然后使用 B 的证书中的公钥解密指纹并对比信息摘要。

为了保证 B 的公钥真实可靠，需要验证 B 的证书，而 B 的证书是由 A 颁发的，所以使用 A 的公钥解密指纹并对比信息摘要。

A 的公钥内置在系统中，认为是真实有效地。

通过这种信任链的机制，就能完成对证书的认证。可见，这里的关键之处在于顶级 CA 证书，这类证书通常系统内置，世界公认可信。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们