证书管理机构——CA（Certificate Authority）

摘自《百度百科——密钥密码体系》

http://baike.baidu.com/item/%E5%AF%86%E9%92%A5%E5%AF%86%E7%A0%81%E4%BD%93%E7%B3%BB?fromtitle=%E5%AF%86%E9%92%A5%E4%BD%93%E7%B3%BB&type=syn

CA(Certificate Authority)　电子签证机关（即CA）。CA也拥有一个证书（内含 公钥），当然，它也有自己的 私钥，所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA，任何人都应该可以得到CA的证书（含 公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个 公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给那个用户（申请者）。

如果一个用户想鉴别另一个证书的真伪，他就用CA的 公钥对那个证书上的签字进行验证（如前所述，CA签字实际上是经过CA 私钥加密的信息，签字验证的过程还伴随使用CA公钥解密的过程），一旦验证通过，该证书就被认为是有效的。

CA除了签发证书之外，它的另一个重要作用是证书和密钥的管理。

由此可见，证书就是用户在网上的电子个人身份证，同日常生活中使用的个人身份证作用一样。CA相当于网上公安局，专门发放、验证身份证。

摘自《百度百科——CA》

http://baike.baidu.com/link?url=90UUbTOSiu4v4IsJXYwxjQ1At69gtNXCptNQANPYyTmFXFN8H5R3C2wl43XULH99Cqz7mQCI6kkGrVB1EaGq_a

CA（证书管理机构 ）是PKI（Public Key Infrastructure，公钥基础设施）系统中通信双方都信任的实体，被称为可信第三方（Trusted Third Party，简称TTP）。CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。作为第三方而不是简单的上级，就必须能让信任者有追究自己责任的能力。CA通过 证书 证实他人的 公钥 信息，证书上有CA的签名。用户如果因为信任证书而导致了损失，证书可以作为有效的证据用于追究CA的法律责任。正是因为CA愿意给出承担责任的承诺，所以也被称为可信第三方。在很多情况下，CA与用户是相互独立的实体，CA作为服务提供方，有可能因为服务质量问题（例如，发布的公钥数据有错误）而给用户带来损失。证书中绑定了公钥数据、和相应私钥拥有者的身份信息，并带有CA的 数字签名 。证书中也包含了CA的名称（图中为LOIS CA），以便于依赖方找到CA的公钥、验证证书上的数字签名。如图 1所示。

1 CA签发证书

验证证书的时候，需要得到CA的公钥。用户的公钥可以通过证书来证明，那CA的公钥如何获得呢？可以再让另一个CA来发证书，但最终总有一个CA的公钥的获得过程缺乏证明。 PKI技术并不把这样一个循环问题留给自己，而是依赖其它的安全信道来解决。因为CA毕竟不多，可以通过广播、电视或报纸等公开的权威的媒介，甚至通过发布红头文件的方式来公告CA的公钥。

公告CA的公钥可以有多种形式，为了兼容 程序的处理，人们一般也以证书的形式发布CA的公钥。CA给自己签发一张证书，证明自己拥有这个公钥，这就是自签名证书（Self-Signed Certificate）。如图2所示：

2 CA自签名证书

与末端实体的证书不一样，在尚未确定CA公钥时，CA自签名证书其实不是真正的 数字证书，而仅仅是拥有证书形式的一个公钥。所以CA自签名证书必须从可信的途径获取。例如，任何人都可以产生一对公私 密钥对，并声称自己就是LOIS CA，然后签发一张自签名证书、并通过网络随意传播。CA自签名证书可以通过权威媒体或面对面USB硬盘等进行传输。

用户拥有CA自签名证书之后，就可以离线地验证所有其它末端用户证书的有效性，获得其它实体的公钥、进行安全通信。

CA是负责确定公钥归属的组件，所以CA必须得到大家的信任才能充当这样的角色，其确定公钥归属的技术手段也必须是可靠的。CA通过证书方式为用户提供公钥的拥有证明，而这样的证明可以被用户接受。

在用户验证公钥归属的过程中，有数据起源鉴别、 数据完整性和非否认性的安全要求。CA对某公钥拥有人的公钥证明必须实现这些安全要求才能够为公钥的用户所接受。首先，不论用户获得通信对方公钥的途径是什么，他必须确定信息最初始的来源是可信的CA、而不是其它的攻击者。其次，我们要保证在获得信息的过程中，信息没有被篡改、是完整的。最后，公钥的拥有证明是不可否认的，即通过证书验证都能够确保CA不能否认它提供了这样的公钥拥有证明。在PKI中，CA也具有自己的公私密钥对，对每一个“公钥证明的数据结构”进行数字签名，实现公钥获得的数据起源鉴别、数据完整性和非否认性。用于公钥证明的数据结构，就是数字证书。

CA(Certificate Authority)是数字证书 认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。

数字证书实际上是存于计算机上的一个记录，是由CA签发的一个声明，证明证书主体（"证书申请者"拥有了证书后即成为"证书主体"）与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份，保证 电子商务的安全进行。

解 释: 受委托发放数字证书的第三方组织或公司。数字证书是用来建立数字签名和公-私(public-private)密钥对的。CA在这个过程中所起的作用就是保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中，CA是一个非常重要的组成部分，因为它们确保信息交换各方的身份。

CA的层级结构：

CA建立自上而下的信任链，下级CA信任上级CA，下级CA由上级CA颁发证书并认证。

CA提供的服务：

颁发证书、废除证书、更新证书、验证证书、管理密钥。

CA大概分以下几种：

1、行业性CA

金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、

中国海关CA、中国银行CA、 中国工商银行CA、中国建设

银行CA、招商银行CA、国家计委电子政务CA、 南海自然

人CA（NPCA）

2、区域性CA

协卡认证体系（ 上海CA、北京CA、 天津CA）

网证通体系（广东CA、 海南CA、湖北CA、 重庆CA）

3、独立的 CA认证中心

–  山西CA、吉林CA、 宁夏西部CA、陕西CA、 福建CA、黑龙

江邮政CA、黑龙江政府CA、 山东CA、深圳CA 、 吉林省政

府CA、福建泉州市商业银行网上银行CA、天威诚信CA