關於證書鏈

Web 瀏覽器已預先配置了一組瀏覽器自動信任的根 CA 憑證。來自其他憑證授權單位的所有憑證都必須附帶憑證鏈，以驗證這些憑證是否有效。憑證鏈是由連續 CA 憑證發行的憑證序列，最終以根 CA 憑證結束。

憑證最初產生時是自簽名憑證。自簽名證書是其發行者 (簽名者) 與主旨 (其公開金鑰由該證書進行認證的實體) 相同的證書。如果所有者向 CA 傳送證書簽名請求 (CSR)，然後輸入回應，自簽名證書將被證書鏈取代。鏈的底部是由 CA 發行的、用於認證主旨的公開金鑰證書 (回覆)。鏈中的下一個證書是認證 CA 公開金鑰的證書。通常，這是一個自簽名證書 (即，來自 CA、用於認證其自身公開金鑰的證書)，並且是鏈中的最後一個證書。

在其他情況下，CA 可能會傳回一個證書鏈。在此情況下，鏈的底部證書是相同的 (由 CA 簽名的證書，用於認證金鑰項目的公開金鑰)，但是鏈中的第二個證書是由其他 CA 簽名的證書，用於認證您向其傳送了 CSR 的 CA 的公開金鑰。然後，鏈中的下一個憑證是用於認證第二個 CA 金鑰的憑證，依此類推，直至到達自簽名的根憑證。因此，鏈中的每個證書 (第一個證書之後的證書) 都需要認證鏈中前一個證書的簽名者的公開金鑰。