证书链的工作方式

当您接收另一个实体的证书时,可能需要使用 证书链 来获取 根 CA 证书。

证书链 (也称为 证书路径) 是用于认证实体的证书的列表。 链 (或路径) 以该实体的证书开头,链中的每个证书都由链中的下一个证书所标识的实体进行签名。 链使用根 CA 证书终止。 根 CA 证书始终由认证中心 (CA) 本身签署。 必须验证链中所有证书的签名,直到到达根 CA 证书为止。

图 1 显示了从证书所有者到信任链开始的根 CA 的证书路径。

图 1。 信任链
此图显示使用 CA 证书验证的用户证书上的签名,该 CA 证书本身通过根 CA 证书验证。 证书位于证书路径上。

每个证书都可以包含一个或多个扩展。 属于 CA 的证书通常包含设置了 isCA 标志的 BasicConstraints 扩展,以指示允许其签署其他证书。