什么是CA根证书

CA 根证书（Certificate Authority Root Certificate）是 数字证书体系（PKI，Public Key Infrastructure） 中的核心证书。它有几个关键点：

1. 定义

• CA（Certificate Authority）：证书颁发机构，负责签发、管理和吊销数字证书。
• 根证书（Root Certificate）：由 CA 自己签发给自己的证书（自签名证书），它是整个信任链的起点。

换句话说，CA 根证书就是 CA 给自己签发的身份证明，所有其他证书（中间证书、服务器证书、客户端证书）都需要通过它来建立信任。

2. 特点

• 自签名：根证书的签发者（Issuer）和持有人（Subject）是同一个实体。
• 存放位置：通常内置在操作系统、浏览器或应用程序的“受信任根证书存储区”中。
• 有效期长：通常有效期在 10 年以上。
• 高安全性要求：因为一旦根证书被伪造或泄露，整个 CA 体系都会不可信。

3. 作用

1. 构建信任链

   • 用户访问网站时，网站出示自己的服务器证书（如 www.example.com 证书）。
   • 这个证书由某个中间 CA 签发。
   • 中间 CA 证书再由根 CA 签发。
   • 浏览器检查到链条最终能追溯到受信任的根证书，就认为网站证书可信。

2. 验证数字签名

   • 根证书包含公钥，系统或浏览器用它来验证下级证书签名的合法性。

4. 举例

比如你访问 https://www.baidu.com：

• 服务器返回 baidu.com 的证书。
• 该证书由“GlobalSign”中间 CA 签发。
• 这个中间 CA 证书再由 “GlobalSign Root CA” 根证书签发。
• 浏览器发现“GlobalSign Root CA” 已经内置在自己的信任根证书列表中 → 建立信任。

CA 根证书就是整个数字证书体系的信任基石。它自己不依赖其他证书，所有下级证书最终都要回溯到它才能获得信任。