网络安全
证书颁发机构(CA)
别称: CA, 签发 CA
定义
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
CA 依据自身的证书策略(公网中常见的 DV、OV、EV,代码签名或合格证书的要求更严)验证申请者身份,并用自己的私钥对 X.509 证书进行签名。CA 处于 PKI 信任链的顶端:根 CA 离线保管,只用于签发受到严格控制的中间 CA,后者再为服务器、用户或设备签发终端实体证书。浏览器和操作系统内置受信任的根存储区。CA 还会发布 CRL、运行 OCSP 响应器,并将签发记录提交到 Certificate Transparency 日志,从而帮助发现违规签发。
示例
- Let's Encrypt、DigiCert、Sectigo 等公共 CA,为 Web 站点签发 TLS 证书。
- 企业内部 CA 为用户、服务器和设备签发证书。
相关术语
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
证书吊销列表(CRL)
由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。
OCSP(在线证书状态协议)
一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。
扩展验证证书(EV)
在 CA 按统一规范对申请机构的法律身份、实地存在与申请权限进行严格审核后才会签发的 TLS 证书。
自签名证书
由自身私钥对其所包含的公钥进行签名的数字证书,不涉及任何外部证书颁发机构。