什么是根证书
根证书,通常称为可信根,是属于证书颁发机构(CA)的数字证书。当一个CA被建立时,它不是预先信任的。在给定时间内,该CA通过由已受信任的CA颁发的交叉签名中间证书开展业务。交叉证书是由一个CA颁发的数字证书,用于为另一个CA的根证书签署公钥。一旦CA的应用程序被接受并证明自己值得信赖,它就会将其根添加到根存储中。根存储是预先下载的根证书及其公钥的集合,这些证书驻留在设备上。
根证书是无价的,因为任何使用其私钥签名的证书都会自动受到浏览器的信任。由于这些根证书的价值,以及其中一个被破坏所带来的风险,它们很少用于颁发最终实体证书。相反,我们使用中间证书。
什么是中间证书
中间证书像树枝一样从根证书分支出来。他们充当受保护的根证书和向公众颁发的服务器证书之间的中间人。其工作原理如下:根CA使用它的私钥对中间根签名,使它受到信任。然后根CA使用中间证书的私钥签署和颁发终端用户SSL证书。这个过程可以重复几次,其中一个中间根签署另一个中间根,最后签署一个终端实体证书。这些从根到中间到终端实体的链接也就是证书链。
根证书与中间证书的区别
我们可以通过查看证书本身来区分根证书和中间证书。如果Issuedto和Issuedby字段相同则它是根证书,否则它是中间证书。另一个识别是查看认证路径,出现在列表顶部的证书是根证书。
以上就是根证书与中间证书的基本描述和区别所在,本质上这些都归结到一个词:PKI或公钥基础设施。