理解 X.509 憑證：TLS/SSL 實際如何運作

X.509 憑證是將公鑰與特定主體綁定的文件。瀏覽器鎖形圖示背後，是這套憑證鏈和信任儲存的支撐。

核心欄位

主體、頒發者、有效期間、公鑰、簽名演算法和 SAN 共同決定連線的可信度。SAN 在現代憑證中幾乎是必須項。

信任鏈

瀏覽器不僅驗證葉憑證，還會驗證到 intermediate 和 root。中間憑證缺失容易導致行動端和 CLI 用戶端失敗。

CSR 與運營

申請憑證前需先產生私鑰和 CSR。最重要的是不要將私鑰匯出到外部。

常見故障

• 憑證過期
• 不完整的憑證鏈
• 主機名稱不符
• 不受信任的根憑證