到底什么是SSL证书？数字证书的认证原理是什么？

想了解什么是自签名证书，我们首先来了解一下什么是SSL证书？

SSL证书，就好比我们的身份证，每一个成年人都有属于自己的身份证，并且每一个的身份证都是独一无二的，用来证明每个人的真实身份。而身份证又是由公安局颁发的，这里我们可以将第三方权威机构CA看做公安局，我们想要取得身份证，就需要去公安局录入各种信息，经过核查之后才能拿到。

这与企业为网站申请SSL证书的过程是一样的，企业申请SSL证书，同样需要向CA机构提交资料，验证域名所有权，证明企业的真实身份，经过审核后才会向企业颁发SSL证书。

假设我们要去银行办理业务，就需要出示我们的身份证，而银行为了防止使用的身份证是伪造的，就可以通过公安局提供的系统进行查询，对身份证信息进行验证。而这个过程，就是我们在浏览网站时，浏览器对网站SSL证书进行验证的过程。

不过这里有一个非常有意思的问题，身份证（SSL证书）的真伪可以通过公安局（CA机构）来证明，那公安局（CA机构）的身份由谁来证明呢？

银行如何信任公安局的自签名证书？

我们知道，受信任的SSL证书不是随意的个人或机构就能颁发的，必须由受信任的CA机构颁发，而想要成为受信任的CA机构，必须通过WebTrust的国际认证。

那么回到刚才的问题，公安局（CA机构）的身份由谁来证明？

公安局的身份无法证明，公安局的身份基于信任。在这里我们需要了解根证书，根证书是CA机构给自己颁发的证书，浏览器安装根证书意味着对这个CA机构的信任，对该机构颁发的证书也一样。也就是说，从一开始，公安局就是在银行备案过的了，无需向任何人提供身份证明。

当你去银行办理业务时，银行（浏览器）通过读取身份证（SSL证书）中的公安局的签名，然后在证书仓库里搜索公安局（CA机构）的自签名证书，用明文的公钥尝试解密签名，倘若顺利解码，证明这张身份证（SSL证书）确实是公安局（CA机构）颁发的，该身份证上的信息是真实有效的。

相信通过这篇文章的讲解，你可以很容易理解目前互联网的数字证书的认证原理。

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/