Quote: http://www.study-area.org/tips/certs/certs.html#termrootca
什麼是最高層認證中心?
最高層認證中心的原文是 Root CA ,在微軟繁體中文 WINDOWS 上譯成「根目錄憑證授權」。「根目錄」只是照 Root 這個字逐字翻譯,意思不通,不用。最高層認證中心是 X.509 的一環。最高層認證中心也是認證中心 (CA) ,和一般認證中心的差別在於,它不會直接用來簽發憑證,而是授權給一些中間的認證中心,讓這些中間的認證中心來簽發憑證。請參見「SSL/X.509 簡介」的附圖。最高層認證中心,因為已經是最大,沒有再上層可以給它簽名了,所以憑證上的是自己的簽名,不是別人的簽名。因為最高層認證中心沒有再上面的簽名了,沒有人可以保證最高層認證中心本身有沒有問題,沒有辦法再往上檢查,所以程式只能事先就認得一些可靠的最高層認證中心,事先就知道一些可靠的最高層認證中心的 Public Key 。
最高層認證中心只能由一些著名、可靠的公司來擔任,因為沒有辦法再往上查驗。如果程式被加進一些不可靠的最高層認證中心,接下來碰到它簽下來的憑證,都會有問題,整個程式的安全都會被破壞。所以在 X.509 下, SSL 程式一定要好好保護最高層認證中心,一定要再三確認,不可以隨便讓人手動加進最高層認證中心。
一般我們產生CERTIFICATE前,先需要有個CERTIFICATE REQUEST給憑證中心簽發,使用SSL時只要有CERTIFICATE與PRIVATE KEY即可,但為何某些憑證中心會給CA呢,也許是要多一層辦識用吧!!!??
留言