CA 根证书(Certificate Authority Root Certificate)是 数字证书体系(PKI,Public Key Infrastructure) 中的核心证书。它有几个关键点:
1. 定义
- CA(Certificate Authority):证书颁发机构,负责签发、管理和吊销数字证书。
- 根证书(Root Certificate):由 CA 自己签发给自己的证书(自签名证书),它是整个信任链的起点。
换句话说,CA 根证书就是 CA 给自己签发的身份证明,所有其他证书(中间证书、服务器证书、客户端证书)都需要通过它来建立信任。
2. 特点
- 自签名:根证书的签发者(Issuer)和持有人(Subject)是同一个实体。
- 存放位置:通常内置在操作系统、浏览器或应用程序的"受信任根证书存储区"中。
- 有效期长:通常有效期在 10 年以上。
- 高安全性要求:因为一旦根证书被伪造或泄露,整个 CA 体系都会不可信。
3. 作用
-
构建信任链
- 用户访问网站时,网站出示自己的服务器证书(如
www.example.com
证书)。 - 这个证书由某个中间 CA 签发。
- 中间 CA 证书再由根 CA 签发。
- 浏览器检查到链条最终能追溯到受信任的根证书,就认为网站证书可信。
- 用户访问网站时,网站出示自己的服务器证书(如
-
验证数字签名
- 根证书包含公钥,系统或浏览器用它来验证下级证书签名的合法性。
4. 举例
比如你访问 https://www.baidu.com
:
- 服务器返回
baidu.com
的证书。 - 该证书由"GlobalSign"中间 CA 签发。
- 这个中间 CA 证书再由 "GlobalSign Root CA" 根证书签发。
- 浏览器发现"GlobalSign Root CA" 已经内置在自己的信任根证书列表中 → 建立信任。
CA 根证书就是整个数字证书体系的信任基石。它自己不依赖其他证书,所有下级证书最终都要回溯到它才能获得信任。