ca 证书机制

不少人都听过 CA 证书，其实咱们天天都在使用它，即便你不知道。下面通俗的解释一下 CA 证书是什么。

假设你 A 公司的一名技术人员，要去 B 公司拜访，可是 B 公司的人都不认识你，怎么办？

常见的作法是，A 公司给你开张介绍信：“xxx公司委派技术员xxx前往贵公司办理业务，请予以方便。”而后在介绍信上盖上公章。

你来到 B 公司，给前台递上介绍信，B 公司相信你不是坏人，给你相应的配合（权限）。

这里有两个问题先思考，留待后面解决：

1. 人是假的，介绍信是真的？
2. 人是假的，介绍信是假的（私刻公章）？

假如来 B 公司办业务的人很是多，每家公司的公章都不相同，前台很难识别各类各样的公章，很是麻烦。

有个中介公司 C 发现这个商机，专门开办一项代理公章业务，作公司间的信用担保。

今后，A 公司去 B 公司办事须要带 2 份介绍信：

1. 含有 C 公司公章和 A 公司公章的介绍信，并注明 C 公司信任 A 公司
2. 含有 A 公司公章的介绍信，写上 “xxx公司委派技术员xxx前往贵公司办理业务，请予以方便。”

搞这么麻烦有啥好处呢？首先前台只须要记住 C 公司的公章便可，当拿到两份介绍信之后，先对第一份介绍信的 C 公章进行确认，确认无误后再对比 2 份介绍信上的 A 公章是否一致，一致则能够信任。

相关专业术语

故事讲完了，结合对故事的理解，下面讲技术。

证书

证书英文叫 digital certificate 或 public key certificate，用来证实某个东西确实是某某的东西，例如经过公章证实 A 公司的介绍信确实是 A 公司颁发的。

CA

CA 是 cretificate Authority 即证书受权中心。

CA 是负责管理和签发证书的第三方机构，就像 C 公司。机构必须是全部人达成信任共识的，具备足够的权威才能在中间作信任担保（其实这里就存在安全性问题，有时候信任是脆弱的）。

CA 证书

由权威 CA 颁发的证书，虽然人人均可以颁发证书，可是我的没有权威性，就像是我给你颁发一个最牛逼程序员将，没有权威性，若是美国计算机协会给你颁发个图灵将，权威性大大的，走到哪都被承认。

证书间信任关系

用一个证书来证实另外一个证书是可信的，例如 C 公司公章和 A 公司公章在同一张介绍信上，注明公章 C 信任公章 A，A 也是可信的。

证书信任链

简单说，信任关系是能够传递的，只要你信任头一个证书，后续的证书都是能够信任的。

C 信任 A，A 信任 A1，A1 信任 A2，A、A一、A2 都是可信任的。

根证书

根证书 root certificate。在证书的信任链中，A1 能够由 A 证实可信任，A 由 C 证实可信任，C 由谁证实可信任呢？C 不须要证实本身是可信任的，由于它是权威机构，这就是根证书（处于树结构的顶端）。

根证书是整个证书安全体系的根本，若是根证书出现问题，所有 gg。

证书的做用

HTTPS

HTTPS 是加密的协议，能够保证传输过程当中，没法被窃取信息。可是加密并不能保证万事大吉，假如黑客把你诱骗到一个假的 HTTPS 站点，而后你输入帐号密码，信息就被窃取了，加密不能保证访问网站的真实性。

为了防止上面的状况，HTTPS 不只有加密机制，还有一套证书机制（经过权威机构受权网站的真实性）。

开启 HTTPS 的网站都有一个权威机构颁发的 CA 证书，咱们在浏览器访问某个 HTTPS 网站时，会验证该网站的证书确保网站的真实性（网站证书被某个根证书信任、证书上绑定的域名与网站一致、证书没有过时），证书错误时浏览器会弹出警告，告诉你证书有问题，就须要怀疑网站的真实性了。