信任层次结构
要使 数字证书 生效,证书的用户必须对其具有高度的信任。 在某些情况下,用户不信任证书的颁发者。 如果证书用户从未听说过 证书颁发机构 ,因此对以面值接受该颁发者的证书感到不自在,则可能会发生这种情况。 此问题通过信任层次结构在认证过程中得到解决。
信任层次结构从证书链中所有实体信任的至少一个证书颁发机构开始。 这可以是内部证书颁发机构管理员,也可以是专门验证标识和颁发证书的外部公司或组织。 此颁发机构称为 根颁发机构。 然后,根证书颁发机构会认证其他证书颁发机构(称为第一层证书颁发机构),这些证书颁发机构随后可以颁发证书,还可以认证其他或第二层证书颁发机构。 下图显示了这种情况。
颁发证书的证书颁发机构的标识是证书的一部分。 该证书颁发机构称为证书的颁发者。 当证书的颁发者是第 1 层或第 2 层证书颁发机构时,该证书的接收者可以确定该证书的颁发者是否由其上一级别的证书颁发机构认证为有效的证书颁发机构,以及更高级别的证书颁发机构是否仍被更高级别的证书颁发机构认证为有效的证书颁发机构,直到确定最低级别之间存在信任链证书颁发机构和根证书颁发机构。
例如,在上图中,可以验证 CA #4 已由 CA #1 认证为证书颁发机构,CA #1 已由根 CA 认证为证书颁发机构。 因此,当来自较低级别的证书颁发机构的证书与加密消息一起传递时,其信任链中到根证书的所有证书的信息都会随之传递。
刚才显示的插图和说明是概念性的。 在现实世界中,证书颁发机构的情况正在演变,尚未建立或接受任何单一根颁发机构。 短期内,权力岛屿将发展,如下图所示。
随着时间的推移,图中的根岛(根 1 和根 2)可能成为单个根 CA 的第 1 层 CA。 此时,这种情况将再次有一个根颁发机构。 实际状况将如何演变还有待观察。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈