通过回答如下几个问题来了解中间证书是什么、为何要使用及为何要部署到服务器。
1、中间证书是什么
通常给我们颁发证书的公司CA并不是Root CA而是其它CA颁发的证书,每个证书都包括“使用者”和“颁发者”的相关信息,由此可形成一个证书链,中间部分叫中间证书。当客户端访问site会根据此站点证书链由下到上依次从本地可信CA中找寻证书来验证site证书的有效性,一旦找到一个可信的CA即可验证site证书的有效性。
2、为什么要使用中间证书
(1)保护根证书。
如果直接采用根证书签发证书,一旦发生根证书泄露,将造成极大的安全问题。所以目前根证书都要求离线保存,如果需要用根证书签名,则必须通过人手工方式,直接用根证书在线签发证书是不允许的。
(2)区分不同类型的产品。
针对DV,OV,EV等不同类型,不同安全级别的证书,CA会采用不同的根证书,一来便于区分,二来一旦出现问题,也便于区别处理,降低影响。中间CA证书一般都是支持在线签发证书的。
(3)交叉验证。
为了获得更好的兼容性,支持一些很古老的浏览器,有些根证书本身,也会被另外一个很古老的根证书签名,这样根据浏览器的版本,可能会看到三层或者是四层的证书链结构,如果能看到四层的证书链结构,则说明浏览器的版本很老,只能通过最早的根证书来识别。
3、为什么要将中间证书部署到web服务器
客户端获取中间证书的方式有两种分别为由客户端自动下载中间证书、由服务器推送中间证书。而客户端自动下载中间证书有时候并不靠谱包括中间证书地址被墙了、系统不支持等,所以确保万一需要在服务器上部署证书从而自动推送给客户端。
(1)客户端自动下载
客户端从site证书上找到中间证书的下载地址进行下载,某些情况下会下载不了如地址被墙了、系统不支持
(2)服务器推送
将下载的中间证书导入到如下位置即可
参考:
中间证书的使用