2.3. 证书链

证书链 是一系列证书，其中链中的每个证书都由后续证书签名。

图 2.1 “Depth 2 的证书链” 展示了简单证书链的示例。

图 2.1. Depth 2 的证书链

View larger image

链中的最后一个证书通常是为自己 签名的自签名证书 -a 证书。

证书链的目的是建立从对等证书到可信 CA 证书的信任链。通过签名在对等证书中的身份的 CA vouches。如果 CA 是您信任的一个（由 root 证书目录中存在 CA 证书的副本），这意味着您可以信任签名的对等证书。

CA 证书可由其他 CA 签名。例如，应用程序证书可由 Progress Software 财务部门的 CA 签名，后者由自签名商业 CA 签名。

图 2.2 “低于 3 的证书链” 显示此证书链的内容：

图 2.2. 低于 3 的证书链

View larger image

应用程序可以接受对等证书，只要它至少信任签名链中的其中一个 CA 证书。