,这三个概念是理解 SSL 证书信任链的核心。简单来说,根证书是信任源头,中间证书是连接桥梁,证书链则是把它们串起来的完整信任路径。
1. 根证书(Root Certificate)
根证书是整个 SSL 信任体系的起点,由全球知名的证书颁发机构(CA) 自己签发。
- 它自带 “信任属性”,会被预装在主流操作系统(如 Windows、macOS)、浏览器(如 Chrome、Safari)和移动设备中。
- 根证书的私钥由 CA 严格保管,从不对外公开,用于签发中间证书。
- 特点是 “自签名”,即自己证明自己可信,是信任链的 “终点”。
2. 中间证书(Intermediate Certificate)
中间证书是位于根证书和服务器证书之间的 “桥梁证书”,由根证书或其他更高层级的中间证书签发。
- CA 不会直接用根证书签发用户的服务器证书,而是先签发中间证书,再用中间证书处理具体的签发请求,这能最大程度保护根证书安全。
- 中间证书不预装在系统或浏览器中,需要随服务器证书一起部署到服务器上。
- 如果缺少中间证书,浏览器可能会提示 “证书不信任” 或 “证书链不完整”。
3. 证书链(Certificate Chain)
证书链也叫 “信任链”,是将服务器证书、中间证书和根证书按层级串联起来的完整链条,用于让浏览器验证服务器证书的合法性。
它的验证逻辑如下:
- 浏览器先获取网站的服务器证书(最底层,用于证明网站身份)。
- 通过服务器证书中的信息,找到签发它的中间证书,验证中间证书的签名是否有效。
- 继续向上验证中间证书的签发者,直到找到预装在系统中的根证书。
- 若根证书可信,且整个链条的签名都有效,浏览器就会确认网站身份合法,显示 “安全” 标识(如小绿锁)。
