首页 » 信息技术 »

数字证书和CA

2017年8月16日 / 273次阅读
加密解密

什么是数字证书?

数字证书是目前国际上最成熟并得到广泛应用的信息安全技术。通俗地讲,数字证书就是个人或单位在网络上的身份证。数字证书以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立起有效的信任机制。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。

数字证书是中文翻译过来的名词,英文名为:digital certificate,就是数字认证的意思。

数字证书技术建立在非对称秘钥基础上,请参考:对称密钥 非对称密钥 数字签名

我们可以把数字证书想象成一个文件(就像我们随身带的身份证),这个文件内含有各种用于验明正身的信息。

数字证书的格式遵循X.509标准。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。

 

数字证书的作用

身份认证:在网络中传递信息的双方互相不能见面,利用数字证书可确认双方身份,而不是他人冒充的。

保密性:通过使用数字证书对信息加密,只有接收方才能阅读加密的信息,从而保证信息不会被他人窃取。

完整性:利用数字证书可以校验传送的信息在传递的过程中是否被篡改过或丢失。

不可否认性:利用数字证书进行数字签名,其作用与手写的签名具有同样的法律效力。

 

什么是CA认证机构?

CA是Certificate Authority的缩写,也叫“证书授权中心”。CA是负责管理和签发数字证书的第三方机构,就像我们社会的公安局,负责身份证的发放和管理。

 

什么是CA证书?

CA 证书,顾名思义,就是CA颁发的证书。

因为数字证书可以作假,人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没啥用处的。因为你不是权威的CA机关发的,你自己搞的证书不具有权威性,没人信你。

CA证书,就是权威机构发行的可信的数字证书。依据《电子认证服务管理办法》和《中华人民共和国电子签名法》,目前国内有30家机构获得相关资质,具体资质可以查询工业信息化部网站。

CA机构通过对CA证书的管理,可以实现对各种单位网站等实体网络身份信息以及权限的管理和维护。

数字证书的主要内容

数字证书的主要内容

 

什么根证书?

根证书的英文是 root certificate。

假设 C 证书(root)信任 A 和 B;然后 A 信任 A1 和 A2;B 信任 B1 和 B2。则它们之间,构成如下的一个树形关系(一个倒立的树)。

根证书 root certificate

根证书 root certificate

处于最顶上的树根位置的那个证书,就是根证书。除了根证书,其它证书都要依靠上一级的证书,来证明自己。那谁来证明“根证书”可靠呢?实际上,根证书可以自己证明自己是,或者说,根证书不需要被证明。(这就是为什么能够提供根证书的都是需要获得资质的企业或组织)

根证书是整个证书体系安全的根本。所以,如果某个证书体系中,根证书出了问题(不再可信了),那么所有被根证书所信任的其它证书,也就不再可信了。这个后果相当相当严重。

 

单位证书与单位员工证书的区别

单位证书(例如证书A和证书B)颁发给独立的单位、组织,在互联网上证明该单位、组织的身份。单位证书对外代表整个单位,进行网上的订单签订、报税、文件发布等电子事物的办理。

单位员工证书(例如证书A1和B1)对外代表单位中具体的某一位员工,以员工的身份进行电子事物的办理,在获得单位(证书)授权后,单位员工证书可以代表单位进行单位的电子事务的处理。一般情况下,单位证书由单位负责人或单位指定的管理员管理,可以对单位员工证书进行授权管理。

在特定应用系统中,单位证书用来对单位员工证书进行电子事务办理的授权。

 

数字证书如何被验证?

证书的发行结构拥有根证书,其签发的证书中,都包含Issuer字段,即证书签发者,并且包含了使用Issuer私钥生成的数字签名。在证书验证的时候,可以获取到Issuer的公钥(应该可以通过网络直接获取,本地也会有缓存,比如浏览器的缓存),用相同的加密算计算并比对数字签名(具体使用什么算法等,也包含在证书中),如果一致,证书验证成功。

以上这段说的比较简单,实际过程涉及更多细节,也更复杂,有证书链的验证,还可能涉及网络查询,有需要的同学可自行搜索。

一个很重要的细节:

现实中,浏览器和操作系统都会维护一个权威的第三方机构列表(包括它们的公钥)。因为客户端接收到的证书中会写有颁发机构,客户端就根据这个颁发机构的值在本地找相应的公钥。

CA机构的公钥,是绝对不能被掉包的,否则无法保证通信安全。

 

X.509标准格式具体包含哪些字段?

X.509 v3证书数据结构如下:

Certificate证书
Version 版本
Serial Number序列号
Algorithm ID 算法标识
Issuer 颁发者
Validity 有效期
Not Before 有效起始日期
Not After 有效终止日期
Subject 使用者
Subject Public Key Info 使用者公钥信息
Public Key Algorithm公钥算法
Subject Public Key公钥
Issuer Unique Identifier (Optional) 颁发者唯一标识
Subject Unique Identifier (Optional) 使用者唯一标识
Extensions (Optional) 扩展
...
Certificate Signature Algorithm 证书签名算法
Certificate Signature 证书签名

 

网站证书验证不通过时,是什么样的?

我们在访问HTTPS网站的时候,浏览器都要验证网站CA证书。

如果浏览器发现该证书没有问题(证书被某个根证书信任、证书上绑定的域名和该网站的域名一致、证书没有过期),那么页面就直接打开;否则的话,浏览器会给出一个警告,告诉你该网站的证书存在某某问题,是否继续访问该站点?

IE浏览器,数字证书验证错误时的提示

IE浏览器,数字证书验证错误时的提示

下图是著名的Firefox浏览器,在CA证书有问题时的提示:

firefox浏览器,CA证书有问题时的提示信息

firefox浏览器,CA证书有问题时的提示信息

 

以上内容,应该足够理解数字证书和CA了。

本文链接:https://www.maixj.net/ict/szzs-ca-16200

相关文章

留言区

《数字证书和CA》有2条留言

  • 麦新杰

    证书标准 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准. []

  • 麦新杰

    浏览器或OS可能内置了一些CA机构的公钥,确保公钥不会错。 []


前一篇:
后一篇:
-->只要几分钟回答问卷,就能轻松赚现金!

栏目精选

云上小悟,麦新杰的独立博客

Ctrl+D 收藏本页

栏目


©Copyright 麦新杰 Since 2014 云上小悟独立博客版权所有 备案号:苏ICP备14045477号-1。云上小悟网站部分内容来源于网络,转载目的是为了整合信息,收藏学习,服务大家,有些转载内容也难以判断是否有侵权问题,如果侵犯了您的权益,请及时联系站长,我会立即删除。

网站二维码
go to top