认证中心Certification-AuthorityCA
认证中心 CA 在 PKI 中签发、管理与撤销证书的职责说明
#status / growing
#type / concept
认证中心Certification-Authority_CA
[!info] related notes
- 相关概念: 密码学, 非对称密码学(Asymmetric-Encryption), Certbot
1. 定义
认证中心 (Certification Authority, CA) 是一个受信任的第三方机构(Trusted Third Party),负责在公钥基础设施 (PKI) 中签发、管理和撤销数字证书。
核心作用:CA 就像网络世界的“公安局”或“护照签发机关”,它的核心职能是证明“你是谁”,并将你的身份信息与你的公钥绑定在一起。
2. 核心职能
CA 的主要工作包括:
- 证书签发 (Issuance):
- 接收用户的证书申请(CSR)。
- 验证用户身份(通常由 RA 协助)。
- 使用 CA 自己的私钥对用户的信息和公钥进行数字签名,生成数字证书。
- 证书管理 (Management):
- 维护证书库,存储已发布的证书供查询。
- 更新和续期即将过期的证书。
- 证书撤销 (Revocation):
- 当用户私钥泄露或停止服务时,CA 会吊销该证书。
- 发布 CRL (证书吊销列表) 或提供 OCSP (在线证书状态协议) 服务,供外界查询证书是否有效。
3. 数字证书 (Digital Certificate)
CA 颁发的产品就是数字证书,它是网络环境中的“电子身份证”。最通用的标准是 X.509。 一个标准的数字证书通常包含:
- 版本号 (Version)
- 序列号 (Serial Number):CA 内部唯一标识。
- 签名算法 (Signature Algorithm):如 SHA256withRSA。
- 颁发者 (Issuer):即 CA 的名称。
- 有效期 (Validity):起始时间和结束时间。
- 主体 (Subject):证书拥有者的信息(如网站域名 CN, 组织 O, 国家 C 等)。
- 主体公钥 (Subject Public Key Info):这是证书最核心的部分。
- CA 的数字签名 (Signature):CA 用私钥对以上所有信息生成的签名(防伪标志)。
4. 信任模型 (证书链)
为了保证全球范围内的信任,CA 采用分级结构:
- 根 CA (Root CA):
- 处于信任链的顶端。
- 使用自己的私钥对自己签名(自签名证书)。
- 根证书通常预装在操作系统或浏览器中,是被无条件信任的。
- 中间 CA (Intermediate CA):
- 由根 CA(或上级中间 CA)签发。
- 负责具体的证书颁发业务,起到了保护根 CA 的作用(根 CA 私钥离线存储,更安全)。
- 终端实体 (End Entity):
- 最终用户(如网站服务器、个人邮件用户)。
- 由中间 CA 签发。
验证逻辑:浏览器验证服务器证书时,会沿着“服务器 -> 中间 CA -> 根 CA”的路径向上验证签名。只要链条完整且根 CA 受信,该证书即被信任。
5. 常见 CA 机构
- 商业 CA:DigiCert, GlobalSign, Sectigo (Comodo) 等。
- 免费/公益 CA:Let’s Encrypt (推动了 HTTPS 的普及)。
相关链接: