根證書(shū)、中間證書(shū)和SSL證書(shū)是構(gòu)成安全網(wǎng)絡(luò)瀏覽的支柱，他們共同作用，實(shí)現(xiàn)了加密數(shù)據(jù)傳輸，并在服務(wù)器和用戶端之間建立信任，是確保網(wǎng)絡(luò)通信安全的關(guān)鍵。對(duì)于SSL證書(shū)我們已經(jīng)非常熟悉了，但對(duì)于根證書(shū)、中間證書(shū)卻知之甚少，那么什么是根證書(shū)？什么是中間證書(shū)？他們之間有什么區(qū)別和聯(lián)系呢？又該如何獲取呢？今天我們將深入探討。

一．什么是根證書(shū)？

根證書(shū)是由受信任的證書(shū)頒發(fā)機(jī)構(gòu)CA自簽發(fā)的數(shù)字證書(shū)，是證書(shū)鏈的最頂端，受到CA的嚴(yán)密保護(hù)。它會(huì)被預(yù)裝到瀏覽器的受信任的根證書(shū)列表中，此列表由瀏覽器和操作系統(tǒng)維護(hù)，以驗(yàn)證安全連接。根證書(shū)十分重要，它可確保瀏覽器自動(dòng)信任已使用私鑰簽名的SSL證書(shū)。

二、什么是中間證書(shū)？

中間證書(shū)是根證書(shū)的分支，就像樹(shù)的分支一樣。它們是連接受保護(hù)的根證書(shū)和向公眾發(fā)布的服務(wù)器證書(shū)之間的中間人。一個(gè)證書(shū)鏈中至少有一個(gè)中間證書(shū)，但也可能有多個(gè)。

根證書(shū)頒發(fā)機(jī)構(gòu)不直接簽發(fā)SSL證書(shū)，而是簽發(fā)中間證書(shū)，由中間證書(shū)進(jìn)一步簽署SSL證書(shū)。這樣做的好處是即使中間證書(shū)受到損害，根證書(shū)的安全性仍然得到保障。

三、根證書(shū)和中間證書(shū)的區(qū)別和聯(lián)系

根證書(shū)和中間證書(shū)共同確保網(wǎng)絡(luò)通信的數(shù)據(jù)加密、身份驗(yàn)證和完整性，保護(hù)敏感信息免受網(wǎng)絡(luò)威脅，他們既有共同點(diǎn)又有區(qū)別和聯(lián)系：

• 1、根證書(shū)由受信任的證書(shū)頒發(fā)機(jī)構(gòu)（CA）自行簽署，而中間證書(shū)由根證書(shū)或其他中間證書(shū)簽署。
• 2、根證書(shū)位于證書(shū)鏈的最頂端，而中間證書(shū)位于證書(shū)鏈的中間，是根證書(shū)和服務(wù)器證書(shū)（如SSL證書(shū)）之間的橋梁。
• 3、根證書(shū)代表著證書(shū)鏈中的最終信任錨，一旦被泄露，風(fēng)險(xiǎn)較高。而中間證書(shū)在降低風(fēng)險(xiǎn)方面起著至關(guān)重要的作用，其可在不影響根證書(shū)的情況下撤銷，從而維護(hù)PKI系統(tǒng)的整體安全性。由此證書(shū)頒發(fā)機(jī)構(gòu)不使用根證書(shū)直接頒發(fā)服務(wù)器證書(shū)，而是使用中間證書(shū)。
• 4、根證書(shū)存儲(chǔ)在由瀏覽器和操作系統(tǒng)維護(hù)的受信任的根證書(shū)列表中，而中間證書(shū)存儲(chǔ)在需要它們的組織的服務(wù)器上。
• 5、根證書(shū)的有效期通常很長(zhǎng)，通常為20-25年或更長(zhǎng)。而中間證書(shū)的有效期通常較短，通常為1至5年。

四、如何獲取根證書(shū)和中間證書(shū)？

1、郵件中包含

通常CA在頒發(fā)SSL證書(shū)時(shí)會(huì)將根證書(shū)、中間證書(shū)一同發(fā)送到您申請(qǐng)時(shí)填寫(xiě)的郵箱，比如：如果您收到的Sectigo SSL證書(shū)文件，它包含下方五個(gè)部分，如下圖：

2、使用SSL證書(shū)鏈下載工具

您可以通過(guò)SSL證書(shū)鏈下載工具來(lái)獲取，只需要輸入域名就可獲取到包含根證書(shū)和中間證書(shū)在內(nèi)的SSL證書(shū)鏈。

小貼士：根證書(shū)和中間證書(shū)導(dǎo)入流程可參考 怎樣在Windows服務(wù)器導(dǎo)入根證書(shū)和中間證書(shū)

總而言之，根證書(shū)與中間證書(shū)雖然既有區(qū)別又有聯(lián)系，但同在確保網(wǎng)絡(luò)通信安全中扮演者至關(guān)重要的角色，他們與服務(wù)器證書(shū)一起，共同構(gòu)成一條完整的證書(shū)信任鏈，加密傳輸數(shù)據(jù)，確保數(shù)據(jù)完整性，并驗(yàn)證通信身份，共同維護(hù)著網(wǎng)絡(luò)安全。

作為國(guó)內(nèi)數(shù)字安全證書(shū)行業(yè)領(lǐng)先者，銳成信息自2011年起，就一直深耕于以SSL證書(shū)為主的數(shù)字證書(shū)領(lǐng)域，不僅提供自有品牌銳安信sslTrus，以及Sectigo、Digicert等多個(gè)品牌的SSL證書(shū)，還提供SSL證書(shū)鏈下載等在內(nèi)的多個(gè) SSL工具和DNS工具。若您有任何疑問(wèn)，可隨時(shí)聯(lián)系我們獲得支持。