数字证书还包含一个授权链信息,举个例子:如果你要申请休假1周,需要你的上司审批,你的上司需要他的上司同意,最终需要大老板同意,那么这一层层的授权,形成了一个授权链,大老板是授权链的根(root),中间这些环节分别是被更接近root的人授权的。
比如苹果开发者的APP签名证书,该证书可以用来对APP进行签名,该证书实际上是由苹果的Worldwide Developer Relations Certificate Authority(WDRCA)授权签名的,而它是由Apple Certificate Authority授权签名的。在这个关系链中苹果的CA是根。 苹果CA根证书默认是内置在苹果系统中的,所以WDRCA的可信性可以由苹果内置的CA根证书来验证其可信性。
Web相关的SSL证书顶部CA根,则就是上述提到的几家公认的签发机构,当我们需要Web做SSL的证书时,便可以向上述机构申请,通常向根机构申请费用都会比较高,也可以向一些二级授权机构进行申请,选择根机构证书签发的好处就是目前大多数的浏览器都会预装内置了这些权威CA的公钥证书,这样,在使用这些权威CA签发过的证书的时候,浏览器一般不会报风险提示。
总结
数字证书签名的基础是非对称加密算法,利用了非对称加密的身份验证和防止信息篡改的特性来实现的,在一些其他方面比如HTTPS中密钥交换用的就是非对称加密的保密特性来实现的,在非对称加密算法中RSA应用最广。非对称加密虽好,但却有一个弊端,就是加解密比较耗时,所以一般都是配合对称加密一起使用。
本文只是对数字证书做了概要的介绍,很多细节都未涉及到,如果各位对一些细节感兴趣可以根据本文涉及的知识点进入更深入的学习。同时本文也未涉及到数字证书的管理以及数字证书的格式等知识的介绍,这些内容将在后续文章中为大家整理和介绍。