Certificate 在何处查找具有安全令牌的根证书和中间证书，其中仅包含结束证书

首先我必须说我对数字签名和PKI有点陌生。 关于整个PKI基础设施的工作方式，我有几个问题。 假设我有一个安全令牌，其中包含我的私钥+我的有效终端实体证书。因此，我可以签署文件没有问题。我正在使用证书颁发者提供的软件来执行此操作

假设我将签名文件发送给使用其他发行人软件的人，他们是否能够验证签名？这里我主要关心的是他们如何获得根证书和中间证书来构建证书链/我们讨论的是字段为null/的情况？构建链不是签名验证的第一步吗

在我看来，证书颁发者提供的软件在计算机上安装了中间证书和根证书。对吗

如果有办法从internet上找到所有这些中间/根证书，我可以在哪里找到它们

不久前，我有一个想法，创建一个应用程序，可以使用任何令牌对消息进行签名，并验证任何签名者发送的消息。我们正在讨论链验证、CRL和OCSP检查。这可能吗

假设我将签名文件发送给使用其他发行人软件的人，他们是否能够验证签名

密码学上是的，他可以使用公钥，但深入验证签名是一个复杂的过程：

• 密码验证
• 信任认证链
• 证书吊销状态
• 签名时的有效性（证书未过期，或签名受时间戳保护

还有一个重要因素是签名的格式。封装数字签名的数字签名格式有多种（XMLDsig、CMS、CAdES、PKC#7、JWS、PAdES），验证软件必须处理格式和版本之间的互操作性问题，甚至是标准的不同解释

这里我主要关心的是他们如何获得根证书和中间证书来构建证书链/我们讨论的是权限信息访问字段为null/的情况

大多数数字签名格式要求在签名本身中包含证书。然后验证者可以验证证书链，直到根证书（必须包含在本地信任库中）为止

构建链不是签名验证的第一步吗

是的。颁发者必须验证证书链。如果在本地信任库中找不到颁发者根证书，则签名不能被视为有效

在我看来，证书颁发者提供的软件在计算机上安装了中间证书和根证书。对吗

是的，证书可以在计算机中预先设置，并且某些操作系统或编程语言具有一个信任库，其中包含预加载的可信任颁发者列表，可用于验证签名

如果有办法从internet上找到所有这些中间/根证书，我可以在哪里找到它们

您通常可以从证书颁发机构的网页下载这些证书。证书应包括AIA扩展，并带有用于下载发行人的URL。此外，在欧盟，有一个全球受信任提供商列表，其中引用了所有正在使用的证书

不久前，我有一个想法，创建一个应用程序，可以使用任何令牌对消息进行签名，并验证任何签名者发送的消息。我们讨论的是链验证、CRL和OCSP检查。这可能吗

---

是的，这是可能的，而且是一个真正的商业领域。有几个商业数字签名验证平台。看看由EU领导的开源项目，作为一种普遍做法，整个证书链（包括所有中间证书）应包含在签名中。否则，无法可靠地获取丢失的证书以建立对签名的信任。如果安全令牌不包含这些证书/仅包含最终实体证书/，我将如何包含这些证书。我应从何处获取它们？安全令牌应包含证书链，以便您可以将中间证书添加到签名中。证书颁发机构必须分发这些证书，通常在网页中分发，并且在颁发证书时发送。验证方只需要知道根CA证书。这是一个漂亮的答案，谢谢！这就是我要找的。