认证中心Certification-AuthorityCA

认证中心 CA 在 PKI 中签发、管理与撤销证书的职责说明

#status / growing #type / concept

认证中心Certification-Authority_CA

[!info] related notes

1. 定义

认证中心 (Certification Authority, CA) 是一个受信任的第三方机构(Trusted Third Party),负责在公钥基础设施 (PKI) 中签发管理撤销数字证书。

核心作用:CA 就像网络世界的“公安局”或“护照签发机关”,它的核心职能是证明“你是谁”,并将你的身份信息与你的公钥绑定在一起。

2. 核心职能

CA 的主要工作包括:

  1. 证书签发 (Issuance)
    • 接收用户的证书申请(CSR)。
    • 验证用户身份(通常由 RA 协助)。
    • 使用 CA 自己的私钥对用户的信息和公钥进行数字签名,生成数字证书。
  2. 证书管理 (Management)
    • 维护证书库,存储已发布的证书供查询。
    • 更新和续期即将过期的证书。
  3. 证书撤销 (Revocation)
    • 当用户私钥泄露或停止服务时,CA 会吊销该证书。
    • 发布 CRL (证书吊销列表) 或提供 OCSP (在线证书状态协议) 服务,供外界查询证书是否有效。

3. 数字证书 (Digital Certificate)

CA 颁发的产品就是数字证书,它是网络环境中的“电子身份证”。最通用的标准是 X.509。 一个标准的数字证书通常包含:

  • 版本号 (Version)
  • 序列号 (Serial Number):CA 内部唯一标识。
  • 签名算法 (Signature Algorithm):如 SHA256withRSA。
  • 颁发者 (Issuer):即 CA 的名称。
  • 有效期 (Validity):起始时间和结束时间。
  • 主体 (Subject):证书拥有者的信息(如网站域名 CN, 组织 O, 国家 C 等)。
  • 主体公钥 (Subject Public Key Info):这是证书最核心的部分
  • CA 的数字签名 (Signature):CA 用私钥对以上所有信息生成的签名(防伪标志)。

4. 信任模型 (证书链)

为了保证全球范围内的信任,CA 采用分级结构:

  1. 根 CA (Root CA)
    • 处于信任链的顶端。
    • 使用自己的私钥对自己签名(自签名证书)。
    • 根证书通常预装在操作系统或浏览器中,是被无条件信任的。
  2. 中间 CA (Intermediate CA)
    • 由根 CA(或上级中间 CA)签发。
    • 负责具体的证书颁发业务,起到了保护根 CA 的作用(根 CA 私钥离线存储,更安全)。
  3. 终端实体 (End Entity)
    • 最终用户(如网站服务器、个人邮件用户)。
    • 由中间 CA 签发。

验证逻辑:浏览器验证服务器证书时,会沿着“服务器 -> 中间 CA -> 根 CA”的路径向上验证签名。只要链条完整且根 CA 受信,该证书即被信任。

5. 常见 CA 机构

  • 商业 CA:DigiCert, GlobalSign, Sectigo (Comodo) 等。
  • 免费/公益 CA:Let’s Encrypt (推动了 HTTPS 的普及)。

相关链接

创建于 2026/1/7 更新于 2026/5/27