PKI（公鑰基礎設施）之證書的信任鏈（數字證書鏈）

前面的「證書之什麼是數字簽名？」簡單科普了一下為什麼要使用證書。其實這些以及後面要科普的都是整個公鑰基礎設施pki（public key infrastructure）體系中一部分。下面介紹什麼是數字證書的信任鏈。

證書鏈是乙個有序的證書列表，包含ssl證書和證書頒發機構（ca）證書，使接收方能夠驗證傳送方和所有ca是否值得信任。鏈或路徑以ssl證書開頭，鏈中的每個證書都由鏈中下乙個證書標識的實體簽名。

鏈終止於根ca證書。必須驗證鏈中所有證書的簽名，直至根ca證書。根ca證書始終由ca本身簽名。

下圖說明了從證書所有者到根ca的證書路徑

上圖從下往上介紹依次有

根證書：根證書（root certificate）的簽名（root ca』s signature）是用根私鑰（root ca『s private key）籤的。所以驗證根證書簽名（root ca』s signature）要用根公鑰（root ca』s public key）才能驗證通過。這種情況就叫做自簽名（self-sign）。

中介證書：中介證書（intermediate certificate）裡面包含了根證書的名稱（issuer』s /root ca』s name）。中介證書裡面的簽名（issuer』s signature）是用根私鑰（root ca『s private key）籤的，所以需要根公鑰（root ca』s public key）才能驗證通過。

終端實體證書：終端實體證書（end-entity certificate）裡面包含了中介證書的名稱（issuer』s / ca』s name）。終端實體證書裡面的簽名（issuer』s signature）是用中介私鑰（owner『s private key）籤的，所以需要中介公鑰（owner』s public key）才能驗證通過。

常見有四種型別用於使用pki實現信任模型。

a.分層信任模型（hierarchical trust model）：

分層模型或樹模型是實現pki的最常見模型。頂部的根ca提供所有資訊，中間ca在層次結構中是下乙個，並且它們僅信任根提供的資訊。根ca還信任層次結構中其級別的中間ca.

這種安排允許在分層樹的所有級別進行高階別的控制，這可能是希望擴充套件其證書處理能力的大型組織中最常見的實現。分層模型允許嚴格控制基於證書的活動。

b.橋接信任模型（bridge trust model）：

在橋接信任模型中，我們在root ca之間有許多p2p關係，根ca之間可以相互通訊並允許交叉證書。該實施模型允許在組織（或部門）之間建立認證過程。

在此模型中，每個中間ca僅信任其上方和下方的ca，但可以擴充套件ca結構，而無需建立其他ca層。組織之間的額外靈活性和互操作性是橋模型的主要優勢。

c.混合信任模型（hybrid trust model）：

有時您需要在某個部分鏈結兩個或更多組織或部門，並將其他部分分開。當您需要信任兩個組織的某些部分，但您不希望在組織的其他部分中建立信任。在這些時候，混合信任模型可以是最適合您的模型。構建混合信任結構時，您可以非常靈活，此模型的靈活性還允許您去建立混合環境。

請注意，在此結構中，混合環境之外的中間ca只能信任混合環境中的根ca和中間ca，信任連線到混合環境中任何中間ca所有的根ca.

d.網格信任模型（mesh trust model）：

當您想要實現具有交叉認證檢查的分層信任模型或根ca的網路時，網格信任模型是您的最佳選擇。在其他景點中，網格模型使用多路徑和多根ca遷移橋結構的概念。

每個根ca中的認證都在所有root ca，中間ca和葉ca以及連線到每個ca鏈的所有終端使用者中獲得授權。

pki trust models（

trust models and management in public-key infrastructures（

1 維基百科

2 how certificate chains work(

3 4

PKI（公鑰基礎設施）之證書的信任鏈（數字證書鏈）

公鑰基礎設施PKI

公鑰基礎設施（PKI）簡介

PKI公鑰基礎設施（二）

PKI（公鑰基礎設施）之證書的信任鏈（數字證書鏈）

公鑰基礎設施PKI

公鑰基礎設施（PKI）簡介

PKI公鑰基礎設施（二）

相關推薦