证书链，根证书，证书服务器

证书链，根证书，证书服务器

https证书中包含的文件ca.cer中间证书和根证书nginx.cn.cer您申请的ssl证书fullchain.cer中包含的ca.cer和nginx.cn.cer的所有链证书nginx.cn.key证书

操作系统上预安装的一些根证书是国际权威的证书颁发机构，如verisign和ENTRUST。

我们正常申请的ssl证书都是这些根证书的孙子证书。 根证书颁发中间证书，中间证书颁发ssl证书。

证书链的顺序是ssl证书中间证书根证书。 证书链上的每个证书由相邻证书颁发。

证书作为链存在，并且只有当整个链的证书有效时，才会认为当前证书是合法的。

最上层是root，所谓的CA，用于发行证书的最下层是end-user，对应的是各网站购买使用的ssl证书的中间层是intermediates，是二次CA，该层继续分为多层，由root向end-user发送证书在浏览器中验证证书的顺序首先检查购买的ssl证书的颁发者是否是受信任的根证书，否则证书颁发机构检查是否由受信任的根证书颁发。 否则，表示证书是可信的，直到找到受信任的根证书，否则表示不可信。

根证书用于颁发证书，不参与通信，通常包含在客户端浏览器中。 如果服务器上没有安装中间证书，一些非主流浏览器、安卓移动设备可能无法验证ssl证书的真实性，因此为了与所有客户端兼容，服务器需要安装中间证书

例如，虽然从证书2购买了证书3，但是证书2不是默认地包含在浏览器类型中的受信任证书，而是中间证书2是由根证书1发布的证书。 如果服务器只发送证书3但不包含证书2，则浏览器无法找到证书3的颁发者证书2，整个证书的验证链断开，证书在浏览器中无效，证书为“Invalid   certificate”或“Invalid  certificate”

总结根证书是由第三方受大家信任的认证机构自签名的证书，通常内置于浏览器中。

服务器证书是包含“ssl证书中间证书”的证书链。 一些未知的中间证书没有内置浏览器。 服务器必须将ssl证书与中间证书一起发送到浏览器。 如果证书链不完整，这些浏览器将不会信任你的证书。

用户证书有两种理解。 如果证书颁发机构和服务器可以理解为您申请的ssl证书，则在服务器-客户端交互中是客户端(如USD  )的证书。

大家可能有疑问，要在服务器上安装根证书吗？ 从上面的分析可以看出，浏览器内置了根证书，不需要将根证书添加到服务器的证书链中。

中间证书的安装方法因web服务器而异。 apache有一个变量sslCertificateChainFile，它支持中间证书bundle。 Nginx要求将SSL证书和中间证书打包到一个文件中。

证书格式转换cer和pem格式文件都是证书文件，key文件是私钥文件，证书颁发机构向客户发布这两种格式的文件。

从pem或cer格式转换为JKS格式的文件包含公钥和私钥的第一步。 在openssl命令行中输入以下命令，将pem或cer证书转换为pfx格式： 回车后需要输入两次密码

pkcs12 -导出- outserver.pfx-inkey  server.key-in  server.PEM  (server.cer  ) ) ) ) ) ) ) ) )。

步骤2 :在命令行中使用Java  keytool工具将pfx文件转换为jks文件

keytool-import  keystore-srckeystoreserver.pfx-destkeystoreserver.jks-srcstoretypepkcs  12-deststoretypepks

要将pem格式的证书转换为cer格式，请先从终端的cd放在文件目录下，然后

OpenSSL  x509-outform  der-in  XXX.PEM-out  yyy.cer

或者，双击pem文件将其导入密钥列，然后在密钥列中右键单击将其导出

(xxx是原始证书的名称，yyy是通过转换格式生成的证书的名称)

要将crt格式转换为der格式，请先从终端的cd移动到文件目录，然后单击

OpenSSL  x509-in  XXX.CRT-out  yyy.der-outform  der

(xxx是原始证书的名称，yyy是通过转换格式生成的证书的名称)

HTTP、HTTPS、SSL、TLS、CA证书、CSR（列表、list、全）HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html