關於憑證鏈

Web 瀏覽器已預先配置了一組瀏覽器自動信任的根 CA 憑證。來自其他憑證授權單位的所有憑證都必須附帶憑證鏈，以驗證這些憑證是否有效。憑證鏈是由連續 CA 憑證發行的憑證序列，最終以根 CA 憑證結束。

憑證最初產生時是自簽署憑證。自簽署憑證是其發行者 (簽署者) 與主旨 (其公開金鑰由該憑證進行認證的實體) 相同的憑證。如果所有者向 CA 傳送憑證簽署請求 (CSR)，然後輸入回應，自簽署憑證將被憑證鏈取代。鏈的底部是由 CA 發行的、用於認證主旨的公開金鑰憑證 (回覆)。鏈中的下一個憑證是認證 CA 公開金鑰的憑證。通常，這是一個自簽署憑證 (即，來自 CA、用於認證其自身公開金鑰的憑證)，並且是鏈中的最後一個憑證。

在其他情況下，CA 可能會傳回一個憑證鏈。在此情況下，鏈的底部憑證是相同的 (由 CA 簽署的憑證，用於認證金鑰項目的公開金鑰)，但是鏈中的第二個憑證是由其他 CA 簽署的憑證，用於認證您向其傳送了 CSR 的 CA 的公開金鑰。然後，鏈中的下一個憑證是用於認證第二個 CA 金鑰的憑證，依此類推，直至到達自簽署的根憑證。因此，鏈中的每個憑證 (第一個憑證之後的憑證) 都需要認證鏈中前一個憑證的簽署者的公開金鑰。