证书的签发关系,会把证书连接成一棵证书签发关系树,如图18-1所示。顶部是根证书,一般由可信第三方持有,根证书都是自签名的,即其不需要其他机构来对其身份提供证明。其他层级的CA证书,都是由上一层的CA证书签发的。最底层的证书,是给具体应用使用的证书。
验证这棵“树”上的证书,分两种情况。
● 根证书验证。因为根证书既是签发者,又是被签发者,所以根证书验证只需要提供根证书本身,一般都能验证成功。
● 其他证书验证。需要提供证书本身,以及其上层的所有CA证书,包括根证书。
图18-1 多级证书签发关系