atrust证书认证（什么是证书链）

背景：客户提供了pki证书以及根证书文件，将根证书导入零信任，浏览器使用证书认证提示“登录失败，当前未检测到符合要求的证书，请检查文件证书是否已导入”对比根证书后发现客户所提供的根证书缺少中间证书，获取中间证书与根证书组合为证书链后，证书认证通过


什么是证书链

在进一步讨论之前，我们需要先引入证书链的概念。简单来说，证书链是指您的SSL证书以及它如何链接回受信任的证书颁发机构。证书链分为三个部分：根证书、中间证书、服务器证书。当你访问一个网站时，浏览器会查看它的SSL证书，并快速的验证证书的真实性。浏览器正是循着证书链对证书进行身份验证的操作，因此证书链也称为证书路径或信任链。

什么是根证书

根证书，通常称为可信根，是属于证书颁发机构（CA）的数字证书。当一个CA被建立时，它不是预先信任的。在给定时间内，该CA通过由已受信任的CA颁发的交叉签名中间证书开展业务。交叉证书是由一个CA颁发的数字证书，用于为另一个CA的根证书签署公钥。一旦CA的应用程序被接受并证明自己值得信赖，它就会将其根添加到根存储中。根存储是预先下载的根证书及其公钥的集合，这些证书驻留在设备上。

根证书是无价的，因为任何使用其私钥签名的证书都会自动受到浏览器的信任。由于这些根证书的价值，以及其中一个被破坏所带来的风险，它们很少用于颁发最终实体证书。相反，我们使用中间证书。

什么是中间证书

中间证书像树枝一样从根证书分支出来。他们充当受保护的根证书和向公众颁发的服务器证书之间的中间人。其工作原理如下：根CA使用它的私钥对中间根签名，使它受到信任。然后根CA使用中间证书的私钥签署和颁发终端用户SSL证书。这个过程可以重复几次，其中一个中间根签署另一个中间根，最后签署一个终端实体证书。这些从根到中间到终端实体的链接也就是证书链。

根证书与中间证书的区别

我们可以通过查看证书本身来区分根证书和中间证书。如果Issuedto和Issuedby字段相同则它是根证书，否则它是中间证书。另一个识别是查看认证路径，出现在列表顶部的证书是根证书。

以上就是根证书与中间证书的基本描述和区别所在，本质上这些都归结到一个词：PKI或公钥基础设施。