SSL證書鏈說明

SSL證書鏈說明

1. SSL證書鏈定義

證書頒發機構(CA)共分爲兩種類型：根CA和中間CA。爲了使SSL證書被信任，該證書必須由設備所鏈接的可信存儲庫CA頒發。

若是該證書不是由受信任CA，該連接設備(如網絡瀏覽器)將檢查，查看該證書是否由受信任的CA頒發，直到沒有發現受信任CA爲止。

SSL證書鏈就是證書列表中的根證書、中間證書到終端用戶證書。

2. SSL證書鏈舉例

假設用戶從Qcloud機構購買證書，域名是example.qcloud.

Qcloud機構不是一個根證書頒發機構。換句話說，它的證書並非直接嵌入在web瀏覽器，所以它不能被明確的信賴。

Qcloud機構使用由中間Qcloud證書頒發機構阿爾法頒發的證書
中間Qcloud CA阿爾法使用由中間Qcloud證書頒發機構貝塔頒發的證書
中間Qcloud CA貝塔使用由中間Qcloud證書頒發機構伽馬頒發的證書
中間Qcloud CA伽馬使用由The Root of Qcloud頒發的證書
The Root of Qcloud是一個根CA。該證書是直接嵌入在您的web瀏覽器中，所以能夠被信任。

以上的例子中，SSL證書鏈是由如下6個證書組成的：

終端證書：頒發給example.qcloud，發行商：Qcloud機構
中間證書1：頒發給example.qcloud，發行商： 中間Qcloud證書頒發機構阿爾法
中間證書2：頒發給中間Qcloud證書頒發機構阿爾法，發行商： 中間Qcloud證書頒發機構貝塔
中間證書3：頒發給中間Qcloud證書頒發機構貝塔，發行商： 中間Qcloud證書頒發機構伽馬
中間證書4：頒發給中間Qcloud證書頒發機構伽馬，發行商：The Root of Qcloud
根證書： 頒發給The Root of Qcloud，由The Root of Qcloud頒發
其中證書1 稱爲終端用戶證書，證書2-5被稱爲中間證書。證書6被稱爲根證書。

當用戶安裝終端證書example.qcloud時，必須將全部的中間證書捆綁，並與終端證書一塊兒安裝。若是SSL證書鏈無效或被受損， 則用戶的證書就不被某些設備信任。