我知道根CA将向所有浏览器供应商(Google、Microsoft、Mozilla 等...)发布其根证书。然后,当我们在机器上安装任何浏览器时,它也会在安装过程中加载所有根CA。
我的问题是中间CA的中间证书将如何加载到我们的浏览器? 浏览器何时以及如何获取中间证书,以便浏览器在握手过程中从 Web 服务器接收到时可以验证中间证书上的签名。
您的服务器必须将任何中间证书及其自己的证书发送到浏览器。
证书列表
这是证书的序列(链)。发件人的 证书必须位于列表中的第一位。以下各 证书必须直接证明其前面的证书。因为 证书验证要求分发根密钥 独立地,指定根的自签名证书 证书颁发机构可以从链中省略,根据 假设远程端必须已经拥有它才能 无论如何都要验证它。
TLS 1.3 和其他协议具有类似的概念 - 证书作为链发送,而不是单独发送。