證書鏈的目的

① 證書頒發機構的證書與證書鏈有什麼區別分別做什麼用

證書就是智能機安裝程序的必備東西。證書鏈就不知道了。沒聽過。不過，你想做什麼？是需要證書呢？還是什麼？

② 什麼是數字證書的證書鏈

數字證書由頒發該證書的CA簽名。多個證書可以綁定到一個信息或交易上形成證書鏈，證書鏈中每一個證書都由其前面的數字證書進行鑒別。最高級的CA必須是受接受者信任的、獨立的機構。

③ 老師你好，在ssl證書中，cer是公鑰證書，key是私鑰證書，crt是證書鏈對嗎

一、SSL證書文件

如圖所示，就是一些SSL證書文件。上圖帶有root CA 字樣的證書文件就是根證書， 然後帶intermediate ca 字樣的就是中間證書文件， 最後一個 ssl servercertificate 字樣的證書即為證書文件。

了解認識SSL證書文件，才能更好的去安裝SSL證書。雖然大部分時候直接安裝證書文件，瀏覽器也會顯示安全，但是由於一些瀏覽器會自動補齊證書鏈，但是證書鏈缺失的話，一些手機端或者部分瀏覽器可能會報不安全的提醒，所以在安裝的時候建議安裝完整的證書文件，補齊證書鏈。

二、SSL證書格式

在SSL證書源文件中你會發現有很多格式。不同的web伺服器對於證書的格式是有要求的，接下來也帶大家了解下不同格式的證書文件。

PEM：- Privacy Enhanced Mail,打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是BASE64編碼.上述一般證書文件 ，中間證書和根證書，證書文件很多都是pem格式的。Apache和NIgnix伺服器偏向於使用這種編碼格式.

DER：這種格式也是常見的證書格式，跟pem類似，中間證書和根證書，證書文件很多都是DER的，Java和Windows伺服器偏向於使用這種編碼格式。

JKS ：jks是Java密鑰庫(KeyStore)比較常見的一種格式。一般可用通過cer 或者pem 格式的證書以及私鑰的進行轉化為jks格式，有密碼保護。所以它是帶有私鑰的證書文件，一般用戶tomcat環境的安裝

PFX：pfx格式的證書 也是由cer 或者pem格式的證書文件以及私鑰轉化而來，所以該證書文件也是帶有私鑰的證書文件，一般用於iis 環境的證書安裝。

④ 什麼叫證書鏈

證書鏈由兩個環節組成—信任錨（CA 證書）環節和已簽名證書環節。自我簽名的證書僅有內一個環節的長度—容信任錨環節就是已簽名證書本身。
證書鏈可以有任意環節的長度，所以在三節的鏈中，信任錨證書CA 環節可以對中間證書簽名；中間證書的所有者可以用自己的私鑰對另一個證書簽名。CertPath API 可以用來遍歷證書鏈以驗證有效性，也可以用來構造這些信任鏈。

⑤ 根證書，中間證書和底層證書怎麼合並一個證書鏈

所謂根證書，是CA認證中心與用戶建立信任關系的基礎，用戶的數字證書必回須有一個受答信任的根證書，用戶的數字證書才是有效的。從技術上講，證書其實包含三部分，用戶的信息，用戶的公鑰，還有CA中心對該證書裡面的信息的簽名，要驗證一份證書的真偽（即驗證CA中心對該證書信息的簽名是否有效），需要用CA中心的公鑰驗證，而CA中心的公鑰存在於對這份證書進行簽名的證書內，故需要該證書，但使用該證書驗證又需先驗證該證書本身的真偽，故又要用簽發該證書的證書來驗證，這樣一來就構成一條證書鏈的關系，這條證書鏈在哪裡終結呢？答案就是根證書，根證書是一份特殊的證書，它的簽發者是它本身，根證書就表明您對該根證書以下所簽發的證書都表示信任，而技術上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結束。所以說用戶在使用自己的數字證書之前必須先根證書。

⑥ 證書鏈的介紹

證書鏈由兩個環節組成—信任錨（CA 證書）環節和已簽名證書環節。自我簽名的證書僅有一個環節的長度—信任錨環節就是已簽名證書本身。

⑦ "證書鏈信息"是什麼意思

證書鏈由兩個環節組成—信任錨（ca
證書）環節和已簽名證書環節。自我簽內名的證書僅有一個環節的長度容—信任錨環節就是已簽名證書本身。
證書鏈可以有任意環節的長度，所以在三節的鏈中，信任錨證書ca
環節可以對中間證書簽名；中間證書的所有者可以用自己的私鑰對另一個證書簽名。certpath
api
可以用來遍歷證書鏈以驗證有效性，也可以用來構造這些信任鏈。

⑧ SSL教程：什麼是SSL證書鏈

證書包含的內來容可以自概述為三部分，用戶的信息、用戶的公鑰、還有CA中心對該證書裡面的信息的簽名。我們在驗證證書的有效性的時候，會逐級去尋找簽發者的證書，直至根證書為結束，然後通過公鑰一級一級驗證數字簽名的正確性。
證書鏈(certificate chain)可以有任意環節的長度：CA證書包括根CA證書、二級CA證書（中間證書）、三級證書.....，以下是對證書鏈的圖解：

⑨ 簡述PKI的目的、組成和功能

一、目的與機能

公開密鑰基礎建設的設置使得未聯系的電腦用戶可以提出認證，並使用公鑰證書內的公鑰信息加密給對方。解密時，每個用戶使用自己的私密密鑰解密，該密鑰通常被通行碼保護。

大致而言，公開密鑰基礎建設由客戶端軟體、服務端軟體、硬體、法律合約與保證、操作程序等組成。簽署者的公鑰證書也可能被第三者使用，用來驗證由該簽署者簽署的數字簽名。

通常，公開密鑰基礎建設協助參與者對話以達成機密性、消息完整性、以及用戶認證，而不用預先交換任何秘密信息。然而互通連成員間的公開密鑰基礎建設受制於許多現實問題，例如不確定的證書撤銷、證書中心發行證書的條件、司法單位規范與法律的變化、還有信任。

二、組成

PKI的組成要素主要有:用戶（使用PKI的人或機構）；認證機構（Certification Authority,CA）（頒發證書的人或機構）；倉庫（保存證書的資料庫）。用戶和認證機構稱之為實體。

用戶是使用PKI的人，使用PKI的人又分為兩種：一種是向認證機構（CA）注冊自己公鑰的人，另一種是希望使用已注冊公鑰的人。

認證機構是對證書進行管理的人或機構。認證機構進行這幾種操作：代用戶生成密鑰對（當然可以由用戶自己生成）；對注冊公鑰的用戶進行身份驗證；生成並頒發證書；作廢證書。另外，對公鑰注冊和用戶身份驗證可以由注冊機構（Registration Authority,RA）來完成。

倉庫（repository）是存放證書的資料庫。倉庫也叫證書目錄。

三、用途

大部分企業級的公鑰基礎建設系統，依賴由更高端級的證書中心發行給低端證書中心的證書，而層層構築而成的證書鏈，來創建某個參與者的身份識別證書的合法性。

這產生了不只一個電腦且通常涵蓋多個組織的證書層次結構，涉及到多個來源軟體間的合作。因此公開的標准對公鑰基礎建設相當重要。這個領域的標准化多由互聯網工程工作小組的PKIX工作群完成。

企業公鑰基礎建設通常和企業的資料庫目錄緊密結合，每個員工的公鑰內嵌在證書中，和人事資料一起存儲。

今日最先進的目錄科技是輕量目錄訪問協議（Lightweight Directory Access Protocol，LDAP）。事實上，最常見的證書格式X.509的前身X.500是用於LDAP的前置處理器的目錄略圖。

歷史

1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相繼公布了安全密鑰交換與非對稱密鑰演算法後，整個通信方式為之改變。

隨著高速電子數字通信的發展，用戶對安全通信的需求越來越強。

密碼協議在這種訴求下逐漸發展，造就新的密碼原型。全球互聯網發明與擴散後，認證與安全通信的需求也更加嚴苛。光商務理由便足以解釋一切。時在網景工作的Taher ElGamal等人發展出傳輸安全層協議，包含了密鑰創建、伺服器認證等。公開密鑰基礎建設的架構因此浮現。

廠商和企業家察覺了其後的廣大市場，開始設立新公司並引導法律認知與保護。美國律師協會項目發行了一份對公開密鑰基礎建設操作的可預見法律觀點的詳盡分析，隨後，多個美國州政府與其他國家的司法單位開始制定相關法規。消費者團體等則提出對隱私、訪問、可靠性的質疑，也被列入司法的考慮中。

被制定的法規實有不同，將公開密鑰基礎建設的機制轉換成商務操作有實際上的問題，遠比許多先驅者所想的緩慢。

21世紀的前幾年才慢慢發覺，密碼工程沒那麼容易被設計與實踐，某些存在的標准某方面甚至是不合宜的。

公開密鑰基礎建設的廠商發現了一個市場，但並非九零年代中期所預想的那個市場，這個市場發展得緩慢而且以不同的方式前進。

公開密鑰基礎建設並未解決所期待的問題，某些廠商甚至退出市場。

公開密鑰基礎建設最成功的地方是在政府部門，目前最大的公開密鑰基礎建設是美國防衛信息系統局（Defense Information Systems Agency，DISA）的共同訪問卡（Common access Cards）方案。