SSL 基础知识 术语

Question

私钥 / 公钥对

同时生成的两个字符串。私钥用于签名，公钥验证签名。公钥加密消息，私钥可以解密。

证书 certificate

(公钥)证书封装了公钥及配套信息，如公钥拥有者(subject)、签署者的签名、签署者(issuer)。自签名证书的subject与issuer相同。根证书是自签名证书。
公钥证书可以被认为是护照的数字等价物。它由可信任的组织颁发，可为持有人提供身份证明。发布公钥证书的受信任组织称为证书颁发机构（CA）。

自己的私钥给自己的公钥签名，叫自签名证书。更普遍的 CA 签名的证书。X.509 证书细节。

密钥库 keystore

将密钥和对应的证书保存在一个受密码保护的数据库中，就叫密钥库。密钥库格式有JKS、PCKS12等。java默认支持jks。jks中保存两种类型条目：PrivateKeyEntry和trustedCertEntry。前者是私钥，后者是可信证书。

可信证书库 truststore

SSL单向认证依赖可信证书库。如IE浏览器中内置了主要证书颁发机构(CA)的根证书和中间人证书，形成了IE的可信证书库。JDK、CURL等都自带可信证书库。java自带可信证书库的格式是jks，里面的条目类型是trustedCertEntry。

证书签名请求 CSR

CSR是Certificate Signing Request的简写。某实体要获得CA认可，需要利用自己的私钥/公钥对构造一个证书签名请求文件发给CA。

证书链

多个证书可以链接成证书链（java中叫证书路径）。当使用证书链时，第一个证书始终是主体的证书。接下来是颁发发件人证书的实体的证书。如果链中有更多证书，那么每个证书都是颁发先前证书的上级CA。链中的最终证书是根CA的证书。