憑證層級說明與 TLS 設定指南¶
在實現安全的通訊協定(如 HTTPS)時,憑證扮演了至關重要的角色。憑證主要分為三種類型:終端憑證、中繼憑證和根憑證。以下對它們進行詳細解釋,並介紹配置 TLS 所需的基本組件以及特定場景下需要根憑證的情況。
憑證類型¶
1. 終端憑證¶
終端憑證是伺服器所使用的憑證,用於證明伺服器的身份。它是直接與使用者設備進行認證的憑證。 - 功能:驗證伺服器的真實性,啟用加密通訊。 - 屬性:通常由憑證頒發機構(CA)簽署。
2. 中繼憑證¶
中繼憑證是位於終端憑證與根憑證之間的橋樑。 常見憑證供應商的中繼憑證取得方法 - 功能:建立信任鏈,將終端憑證的合法性連接到可信的根憑證。 - 屬性:由根憑證(或另一個中繼憑證)簽署。 - 用途:通常與終端憑證一起提供給用戶端。
3. 根憑證¶
根憑證是信任鏈的頂端,由憑證頒發機構(CA)自行簽署(自簽名)。 - 功能:作為信任的基石,用於簽署中繼憑證和終端憑證。 - 屬性:內建於大多數作業系統或瀏覽器的可信根存儲中。
TLS 設定所需的組件¶
在配置 TLS 時,至少需要以下兩個組件:
1. 終端憑證¶
伺服器需要提供自己的終端憑證來建立身份認證。
2. 私鑰¶
每個憑證都對應一個唯一的私鑰,該私鑰用於解密資料並完成 SSL/TLS 握手。 - 重要性:私鑰必須妥善保管,防止未授權的使用。
根憑證的需求¶
一般情況¶
大多數情況下,伺服器端的配置只需要提供終端憑證和中繼憑證,而不需要包含根憑證。這是因為: - 根憑證已內建於用戶端(如瀏覽器、作業系統)的信任存儲中。 - 用戶端自動將根憑證用於驗證信任鏈。
需要根憑證的場景¶
在以下特殊情況下,可能需要提供根憑證:
- 私有憑證頒發機構(Private CA)
- 如果組織使用自建的私有 CA,根憑證通常不被默認信任。
-
必須將根憑證手動安裝到用戶端設備的信任存儲中。
-
測試或開發環境
- 在測試環境中,可能會使用自簽名憑證或非公開的 CA。
-
用戶端需要根憑證來建立信任鏈。
-
特殊應用程序或設備
- 某些嵌入式設備或客製化應用程序不具備預設的根憑證存儲。
- 必須明確提供根憑證以完成信任驗證。
配置建議¶
- 伺服器端配置:提供終端憑證和中繼憑證即可滿足絕大多數需求。
- 客戶端配置:如果使用自建 CA,需將根憑證加入客戶端的信任存儲。
- 安全性考量:確保私鑰不被洩露,並定期更新憑證以避免過期風險。
如需更多資訊或技術支援,請參考相關文件或聯繫您的憑證提供商。