理解 X.509 证书：TLS/SSL 实际如何运作

X.509 证书是将公钥与特定主体绑定的文档。浏览器锁形图标背后，是这套证书链和信任存储的支撑。

核心字段

主体、颁发者、有效期、公钥、签名算法和 SAN 共同决定连接的可信度。SAN 在现代证书中几乎是必须项。

信任链

浏览器不仅验证叶证书，还会验证到 intermediate 和 root。中间证书缺失容易导致移动端和 CLI 客户端失败。

CSR 与运营

申请证书前需先生成私钥和 CSR。最重要的是不要将私钥导出到外部。

常见故障

• 证书过期
• 不完整的证书链
• 主机名不匹配
• 不受信任的根证书