數(shù)字證書的授權(quán)鏈

數(shù)字證書還包含一個(gè)授權(quán)鏈信息，舉個(gè)例子：如果你要申請(qǐng)休假1周，需要你的上司審批，你的上司需要他的上司同意，最終需要大老板同意，那么這一層層的授權(quán)，形成了一個(gè)授權(quán)鏈，大老板是授權(quán)鏈的根(root)，中間這些環(huán)節(jié)分別是被更接近root的人授權(quán)的。

比如蘋果開發(fā)者的APP簽名證書，該證書可以用來對(duì)APP進(jìn)行簽名，該證書實(shí)際上是由蘋果的Worldwide Developer Relations Certificate Authority（WDRCA）授權(quán)簽名的，而它是由Apple Certificate Authority授權(quán)簽名的。在這個(gè)關(guān)系鏈中蘋果的CA是根。 蘋果CA根證書默認(rèn)是內(nèi)置在蘋果系統(tǒng)中的，所以WDRCA的可信性可以由蘋果內(nèi)置的CA根證書來驗(yàn)證其可信性。

Web相關(guān)的SSL證書頂部CA根，則就是上述提到的幾家公認(rèn)的簽發(fā)機(jī)構(gòu)，當(dāng)我們需要Web做SSL的證書時(shí)，便可以向上述機(jī)構(gòu)申請(qǐng)，通常向根機(jī)構(gòu)申請(qǐng)費(fèi)用都會(huì)比較高，也可以向一些二級(jí)授權(quán)機(jī)構(gòu)進(jìn)行申請(qǐng)，選擇根機(jī)構(gòu)證書簽發(fā)的好處就是目前大多數(shù)的瀏覽器都會(huì)預(yù)裝內(nèi)置了這些權(quán)威CA的公鑰證書，這樣，在使用這些權(quán)威CA簽發(fā)過的證書的時(shí)候，瀏覽器一般不會(huì)報(bào)風(fēng)險(xiǎn)提示。

總結(jié)

數(shù)字證書簽名的基礎(chǔ)是非對(duì)稱加密算法，利用了非對(duì)稱加密的身份驗(yàn)證和防止信息篡改的特性來實(shí)現(xiàn)的，在一些其他方面比如HTTPS中密鑰交換用的就是非對(duì)稱加密的保密特性來實(shí)現(xiàn)的，在非對(duì)稱加密算法中RSA應(yīng)用最廣。非對(duì)稱加密雖好，但卻有一個(gè)弊端，就是加解密比較耗時(shí)，所以一般都是配合對(duì)稱加密一起使用。

本文只是對(duì)數(shù)字證書做了概要的介紹，很多細(xì)節(jié)都未涉及到，如果各位對(duì)一些細(xì)節(jié)感興趣可以根據(jù)本文涉及的知識(shí)點(diǎn)進(jìn)入更深入的學(xué)習(xí)。同時(shí)本文也未涉及到數(shù)字證書的管理以及數(shù)字證書的格式等知識(shí)的介紹，這些內(nèi)容將在后續(xù)文章中為大家整理和介紹。