|
|
|
|
|
数字证书(Digital Certification)是标识网络用户身份的电子文档,该电子文档由权威的第三方认证机构CA负责发放。数字证书包含用户的基本数据信息及公钥信息、颁发证书的CA的相关信息,并由CA进行数字签名,保证其真实性。数字证书类似于现实生活中的身份证、营业执照、军官证等证件,起到了证明网络用户身份及其公钥合法性的作用。
|
|
|
|
|
|
数字证书在网络活动中的应用领域与范围越来越广,按照其功能与用途进行分类主要有个人证书、单位证书、服务器证书、代码签名证书、CA证书。
|
|
|
|
(1)个人证书。用于证实参与个人网上交易、网上支付、电子邮件等业务时的用户身份。此类证书包含个人用户的身份信息、个人用户的公钥以及证书机构签发的签名等。
|
|
|
|
(2)单位证书。用于证明参与网络活动的企业的身份,包括单位身份证书、单位E-mail证书、部门证书、职位证书等多种类型。
|
|
|
|
(3)服务器证书。用于证实网络交易中服务器(如银行服务器、商家服务器)的身份及公钥。
|
|
|
|
(4)代码签名证书。用于证明软件开发者的身份。使用代码签名证书,用户可以验证软件的来源是否是真实的开发者,同时也可以确认软件的完整性,保证软件在接收过程中没有被篡改。
|
|
|
|
(5)CA证书。用户也可能需要验证CA的真实性,CA证书就是用来证明CA真实身份的证书。
|
|
|
|
|
|
数字证书遵循国际流行的ITU-Trec.X.509标准。数字证书的内容可分为两部分:数字证书拥有者的信息和颁发数字证书的CA的信息。
|
|
|
|
|
|
|
|
(2)数字证书的序列号。每个数字证书都有一个唯一的证书序列号,用以识别证书。当证书被撤销时,数字证书序列号会被放入证书撤销列表中。
|
|
|
|
(3)数字证书的有效期。包括有效起始日期和有效终止日期,超过该日期范围,数字证书无效。
|
|
|
|
|
|
(5)公钥信息。数字证书拥有者的公钥信息,包括公钥加密体制算法名称及公钥的字符串信息,该项只适用于RSA加密算法体制。
|
|
|
|
(6)缩略图。即该证书的数字摘要,用以验证证书的完整性。
|
|
|
|
|
|
|
|
|
|
|
|
(2)数字证书颁发者的数字签名。CA对颁发的证书的签名。
|
|
|
|
(3)数字签名算法。数字证书颁发者CA使用的数字签名算法。
|
|
|
|
|
|
使用数字证书就像我们平常使用身份证一样,当发送方发送信息给接收方时,发送方将信息与自己的数字证书一同发送给接收方,接收方通过验证数字证书确认发送方的身份。具体过程如下:
|
|
|
|
(1)接收方首先验证证书的真实性。接收方用CA的公钥解开CA对数字证书的签名,如果没有错误,说明证书是经过有效认证的。
|
|
|
|
(2)接收方验证证书的完整性。接收方采用数字证书中提供的数字摘要算法对数字证书进行运算生成数字摘要,再与数字证书中的数字摘要进行对比,如果一致,说明证书没有被篡改,验证了其完整性。
|
|
|
|
经过以上验证,确认了数字证书的真实性和可靠性,从而认证了信息发送方的身份。
|
|
|
|
在数字证书的使用过程中,涉及数字证书的有效性问题。如果数字证书无效,也就无须验证。有效的数字证书需满足以下三个条件:
|
|
|
|
(1)数字证书没有过期。数字证书的内容中包含数字证书的有效起始日期和有效终止日期,超过该日期范围的数字证书就是无效的,如下图所示。
|
|
|
|
|
|
|
|
(2)数字证书对应的密钥没有被修改或丢失。如果发生数字证书中的公钥被修改或数字证书公钥所对应的私钥丢失,其所对应的数字证书均应被视为无效。
|
|
|
|
(3)数字证书不在证书撤销列表中。数字证书认证机构会保存一张证书撤销列表,就像黑名单一样,将所有已撤销证书的信息列在该表中。如果证书信息(如序列号)已在证书撤销列表中,则该证书就是无效的,不能用于证明该证书拥有者的用户身份。
|
|
|
