根证书是什么

根证书是什么

引用

CSDN

1.

https://m.blog.csdn.net/weixin_42258627/article/details/145761775

根证书是数字证书体系中的核心信任锚点，作为证书颁发机构（CA）给自己颁发的数字证书，是整个PKI（公钥基础设施）的信任基础。本文将详细介绍根证书的基本定义、结构与层级、核心作用、管理规范以及实际应用示例。

一、基本定义

根证书（Root Certificate）是证书颁发机构（CA）给自己颁发的数字证书，作为信任链的起点。它包含CA的公钥、身份信息及自签名，用于验证下级证书的合法性。当用户安装根证书时，即表示信任该CA及其签发的所有证书。

二、结构与层级

1. 分层架构 ：
   • 顶级根证书（Root CA） ：位于信任链顶端，自签名且有效期长（不超过25年），通常离线存储以保障安全。
   • 中级根证书（Intermediate CA） ：由顶级根签发，有效期较短（不超过10年），负责在线签发用户证书（如SSL证书、代码签名证书等）。
   • 用户证书 ：由中级根签发，直接用于网站加密、身份认证等场景。
2. 证书链验证 ：
   浏览器验证证书时，会逐级回溯至根证书。例如：用户证书 → 中级证书 → 顶级根证书。每级证书的签名需用上级公钥验证，直到根证书为止。

三、核心作用

1. 建立信任锚点 ：
   根证书是PKI（公钥基础设施）的信任基础，预装在操作系统/浏览器中。任何由其签发的证书均被视为可信。
2. 加密与身份验证 ：
   确保HTTPS通信、数字签名等场景的安全性，防止中间人攻击。
3. 证书吊销管理 ：
   通过证书吊销列表（CRL）或在线验证（OCSP）机制，及时废止失效证书。

四、管理规范

1. 安全措施 ：
   • 顶级根证书离线存储，仅在中级证书签发或更新时启用。
   • 使用高强度加密算法保护私钥，限制访问权限。
2. 有效期限制 ：
   顶级根证书有效期≤25年，中级根≤10年，避免长期暴露风险。

五、实际应用示例

• 12306网站 ：需用户手动安装自签根证书（SRCA），因其未采用商业CA，需自行建立信任链。
• 银行/支付系统 ：如支付宝、微信支付早期版本，通过预装特定根证书保障交易安全。

总结

根证书是数字信任体系的基石，通过分层架构和严格管理保障互联网安全。普通用户无需直接操作，但需警惕非官方来源的根证书安装请求（如钓鱼网站）。