在哪些证书存储中,当浏览器将它与连接到https服务器(窗口)时收到的证书进行比较时,浏览器会查找可信证书吗?
答案 0 :(得分:3)
您需要特定浏览器使用的受信任根存储中的根CA证书。以下是可能有用的简单Google搜索页面:https://help.riseup.net/security/certificates/import/
浏览器不需要在此处找到服务器的证书。需要在此存储中安装的是签署服务器证书(或证书链)的根CA证书。
例如,如果服务器具有证书S,并且S由“MY-ROOT-CA”签名,则需要在受信任的根存储中安装MY-ROOT-CA。
如果服务器的证书S由中间CA“SOME-CA”签名,并且SOME-CA由MY-ROOT-CA签名,则再次只需要在浏览器机器上安装MY-ROOT-CA受信任的根商店。
如果S由SOME-CA签名,则SOME-CA可能还需要安装在浏览器计算机上的某个位置,但不一定需要安装在受信任的根存储中。在这种情况下,服务器可能正在发送S和SOME-CA,甚至可能发送MY-ROOT-CA。无论这个证书链是多久,链中的每个链接都必须由服务器发送,或者存在于本地计算机上,但最后的MY-ROOT-CA总是必须安装在特殊的受信任的根存储中。