以下域名都以domain.com做介绍。

参考 https://www.kawabangga.com/posts/5330

证书机构

证书机构需要做的三件事

1. 对网站：有人向我申请证书，我需要验证申请人的身份，如果不是 domain.com，不能签发证书给他。
2. 对自己：保护自己的private key
3. 对client：client需要信任自己。

验证网站身份

行业的标准叫做 ACME Challenge, 意思就是让 domain.com/.well-known/acme-challenge/foo 返回bar找个text文本。

保管private key

CA机构要保管好自己的private key，一但泄漏，意味着key的持有者随便签发证书。

所有的网站都需要吊销这个证书。

CARoot一般不会给网站签发证书，而是签发一个中间证书，这个中间证书去给网站签发证书。

这个就是x509，如果客户信任CA，那么也应该信任CA签发出来的中间证书。

CA签发的证书有一个 X509v3 Basic Constraints: critical 她的值是 CA: FALSE,