證書鏈是壹個有序的證書列表,包含SSL證書和證書頒發機構(CA)證書,使接收方能夠驗證發送方和所有CA是否值得信任。鏈或路徑以SSL證書開頭,鏈中的每個證書都由鏈中下壹個證書標識的實體簽名。
鏈終止於根CA證書。必須驗證鏈中所有證書的簽名,直至根CA證書。根CA證書始終由CA本身簽名。
下圖說明了從證書所有者到根CA的證書路徑
上圖從下往上介紹依次有
根證書(Root Certificate)的簽名(Root CA’s signature)是用根私鑰(Root CA‘s private key)簽的。所以驗證根證書簽名(Root CA’s signature)要用根公鑰(Root CA’s public key)才能驗證通過。這種情況就叫做自簽名(self-sign)。
中介證書(Intermediate Certificate)裏面包含了根證書的名稱(Issuer’s /root CA’s name)。中介證書裏面的簽名(Issuer’s signature)是用根私鑰(Root CA‘s private key)簽的,所以需要根公鑰(Root CA’s public key)才能驗證通過。
終端實體證書(End-entity Certificate)裏面包含了中介證書的名稱(Issuer’s / CA’s name)。終端實體證書裏面的簽名(Issuer’s signature)是用中介私鑰(Owner‘s private key)簽的,所以需要中介公鑰(Owner’s public key)才能驗證通過。
常見有四種類型用於使用PKI實現信任模型。
分層模型或樹模型是實現PKI的最常見模型。頂部的根CA提供所有信息,中間CA在層次結構中是下壹個,並且它們僅信任根提供的信息。根CA還信任層次結構中其級別的中間CA.
這種安排允許在分層樹的所有級別進行高級別的控制,這可能是希望擴展其證書處理能力的大型組織中最常見的實現。分層模型允許嚴格控制基於證書的活動。
在橋接信任模型中,我們在Root CA之間有許多P2P關系,根CA之間可以相互通信並允許交叉證書。該實施模型允許在組織(或部門)之間建立認證過程。
在此模型中,每個中間CA僅信任其上方和下方的CA,但可以擴展CA結構,而無需創建其他CA層。組織之間的額外靈活性和互操作性是橋模型的主要優勢。
有時您需要在某個部分鏈接兩個或更多組織或部門,並將其他部分分開。當您需要信任兩個組織的某些部分,但您不希望在組織的其他部分中建立信任。在這些時候,混合信任模型可以是最適合您的模型。構建混合信任結構時,您可以非常靈活,此模型的靈活性還允許您去創建混合環境。
請註意,在此結構中,混合環境之外的中間CA只能信任混合環境中的根CA和中間CA,信任連接到混合環境中任何中間CA所有的根CA.
當您想要實現具有交叉認證檢查的分層信任模型或根CA的網絡時,網格信任模型是您的最佳選擇。在其他景點中,網格模型使用多路徑和多根CA遷移橋結構的概念。
每個根CA中的認證都在所有Root CA,中間CA和葉CA以及連接到每個CA鏈的所有最終用戶中獲得授權。
PKI Trust Models( /pub/pdfs/PKIPaper.pdf )