Browser 浏览器和证书存储

当浏览器将可信证书与连接到https服务器Windows时收到的证书进行比较时，浏览器会在哪些证书存储中查找可信证书？

您需要特定浏览器使用的可信根存储中的根CA证书。以下是一个简单的谷歌搜索页面，可能会有所帮助：

浏览器不需要在此处找到服务器的证书。此存储中需要安装的是签署服务器证书或证书链的根CA证书

例如，如果服务器具有证书S，并且S由MY-ROOT-CA签名，则MY-ROOT-CA需要安装在受信任的根存储中

如果服务器的证书s由中间CA SOME-CA签名，并且SOME-CA由MY-ROOT-CA签名，则同样，只需在受信任根存储中的浏览器计算机上安装MY-ROOT-CA

---

如果S由SOME-CA签名，则SOME-CA可能还需要安装在浏览器计算机上的某个位置，但不一定安装在受信任的根存储中。在这种情况下，服务器可能同时发送S和SOME-CA，甚至可能发送MY-ROOT-CA。无论证书链有多长，链中的每个链接都必须由服务器发送，或者存在于本地计算机上，但最后一个MY-ROOT-CA始终必须安装在特殊的受信任根存储中。

您需要特定浏览器使用的受信任根存储中的根CA证书。以下是一个简单的谷歌搜索页面，可能会有所帮助：

浏览器不需要在此处找到服务器的证书。此存储中需要安装的是签署服务器证书或证书链的根CA证书

例如，如果服务器具有证书S，并且S由MY-ROOT-CA签名，则MY-ROOT-CA需要安装在受信任的根存储中

如果服务器的证书s由中间CA SOME-CA签名，并且SOME-CA由MY-ROOT-CA签名，则同样，只需在受信任根存储中的浏览器计算机上安装MY-ROOT-CA

---

如果S由SOME-CA签名，则SOME-CA可能还需要安装在浏览器计算机上的某个位置，但不一定安装在受信任的根存储中。在这种情况下，服务器可能同时发送S和SOME-CA，甚至可能发送MY-ROOT-CA。无论证书链有多长，链中的每个链接都必须由服务器发送，或者存在于本地计算机上，但最后一个MY-ROOT-CA必须始终安装在特殊的受信任根存储中。

关于此答案唯一不正确的部分是要求颁发公共证书的根必须在证书存储中。事实上，它可以是发布链中的任何证书，包括站点本身的公共证书。一旦在受信任的根存储中发现发行链中的证书，就会建立信任并停止搜索。只有撤销才能在该点停止信任。对于上面的示例，受信任的根存储中的S建立信任，如果它在存储中，则与S的颁发者建立信任的SA相同。@WhozCraig:这取决于您使用的TLS实现。除非根自签名CA位于信任存储中，否则OpenSSL不会验证证书。仅在信任存储中存在从属CA是不够的。关于此答案，唯一不正确的部分是要求颁发公共证书的根必须在证书存储中。事实上，它可以是发布链中的任何证书，包括站点本身的公共证书。一旦在受信任的根存储中发现发行链中的证书，就会建立信任并停止搜索。只有撤销才能在该点停止信任。对于上面的示例，受信任的根存储中的S建立信任，如果它在存储中，则与S的颁发者建立信任的SA相同。@WhozCraig:这取决于您使用的TLS实现。除非根自签名CA位于信任存储中，否则OpenSSL不会验证证书。信任存储中仅存在从属CA是不够的。