什么是根证书(下载根证书有什么用)墙裂推荐

什么是根证书？SSL根证书是CA认证中心给自己颁发的证书，是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。PKI系统要对个体公钥实现

什么是根证书？SSL根证书是CA认证中心给自己颁发的证书，是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。

PKI系统要对个体公钥实现数字签名一定要有一个私钥用于数字签名这个个体公钥，这个用于数字签名个体公钥的证书就是用于签发用户证书的根证书（Issuing CA）而为了保障这个重要的根证书的安全，就增加了顶级根证书（Root CA）来负责签发这个用于签发用户证书的根证书，这个用于签发用户证书的根证书（Issuing CA）就称之为中级根证书（Intermediate CA），或子根证书/从根证书（Sub CA）。

顶级根证书仅用于离线签发中级根证书，而中级根证书就可以用于在线签发用户证书了为了保障顶级根证书的安全，必须离线保存在安全房间的保险柜里，只有在需要签发中级根证书或签发中级根证书的吊销列表时才会拿出来用一下，一般情况下一年用一次，其余时间都是在保险柜里睡大觉的。

顶级根证书有效期不能超过25年，中级根证书有效期不能超过10年根证书结构是怎样的？如下图所示就是目前典型的证书链结构，顶级根证书签发用于签发SSL证书的中级根证书，称之为SSL中级根证书，可以有多个用于签发不同类型的SSL证书。

用于签发代码签名证书的中级根证书称之为代码签名中级根证书，用于签发客户端证书的中级根证书称之为客户端中级根证书不同类型用途的证书必须从不同的中级根证书签发，设置不同增强密钥用法，不能混用

但是，鉴于各种不同类型的数字证书的签发规则不同，各大浏览器和操作系统现在要求用于签发不同用途的数字证书必须独立设立顶级根证书，如下图所示，SSL顶级根证书专门用于签发SSL证书，该顶级根下面再签发三个不同类型的SSL证书专用中级根证书，如DV SSL中级根证书、OV SSL中级根证书和EV SSL中级根证书，分别用于签发DV SSL证书、OV SSL证书和EV SSL证书。

讲证书链，当然不能不讲交叉签名交叉签名就是用一个顶级根证书给另外一个顶级根签名，签名后另外一个顶级根成为了第一个顶级根证书的中级根证书，原先的3级证书链就变成了4级证书链为什么要做交叉签名呢？当然是因为被交叉签名的根一般是新根，浏览器和操作系统还未信任和没有全部信任，需要用老根来带新根，就像出道的明星带新人一样的道理。