CA与数字证书的自结

原创 2013年12月03日 19:17:57

1.CA

CA(Certificate Authority)是数字证认证中心简称,是指发放数字证书、管理数字证书、废除数字证书的权威机构。CA的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演CA的角色,只不过难以得到客户端(比如浏览器)的信任,能够受浏览器默认信任的CA大厂商有很多,其中TOP5是Symantec、Comodo、Godaddy、GolbalSign 和 Digicert。


2.数字证书

 假设向CA申请数字证书的单位为A,则他申请的数字证书中含有的内容为:

              a)A的公钥数据

              b)相应私钥拥有者(也就是A)的身份信息

              c)CA机构对数字证书进行了数字签名

              d)包含了CA的名称,以便于依赖方找到CA的公钥、验证证书上的数字签名

Remarks:在第c)条中,当某个用户得到某个单位的数字证书时,要该数字证书进行认证,就是看看是不是相应的CA机构发过来的,那么就需要得到CA的公钥。取得公钥有两种方式,一是通过另外一个CA机构得到CA机构的公钥,二是通过权威媒体或者红头文件得到CA机构的公钥。有了CA机构的公钥,就可以验证得到的数字证书是否为CA机构发过来的。


其中证书格式版本号,现在绝大部分证书遵循X.509 v3结构,v3就是X.509的版本号。


3.CA颁发的SSL字证书的分类

SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。CA机构颁发的证书有3种类型:

1)域名型SSL证书(DV SSL):Domain Validation SSL证书,信任等级普通,只需验证网站的真实性便可颁发证书保护网站;

2)企业型SSL证书(OV SSL):Organization Validation SSL证书,信任等级强,须要验证企业的身份,审核严格,安全性更高;

3)增强型SSL证书(EV SSL):Extended Validation SSL证书,信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏,显示注册公司的信息。形式如下:


         如果是个人博客、中小企业网站和一些传统行业的形象展示类网站,一般来说只需要申请一个域名型SSL证书(DV SSL)就足够了。对于一般的小型网站尤其是博客,可以使用自签名证书来构建安全网络,所谓自签名证书,就是自己扮演 CA 机构,自己给自己的服务器颁发证书。


4.CSR文件

CSR,英文全称为Cerificate Signing Request,即证书请求文件。证书申请者在申请数字证书时,首先要生成私钥Private Key,同时也生成证书请求文件CSR。证书申请者只需要把CSR文件提交给证书颁发机构(即CA)后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的SSL证书。说白了,CSR文件就是没有经过CA机构签名的SSL证书
一般来说,网上有很多在线的CSR文件生成工具,这些工具在生成CSR文件的同时,也会生成私钥文件。

5.自签名证书 | 自建CA | 颁发其他SSL证书
自签名证书,就是用自己的私钥给自己的CSR文件签名所生成的证书。这样就形成了一个CA,我们可以使用它来颁发其他的证书,也就是用私钥去给其他的CSR文件签名,如果浏览器导入了自签名证书,那么浏览器就会信任由自签名证书颁发的其他的证书。

备注:这样一来,我们可以有两种方式来获取到SSL证书。一种是向权威证书颁发机构申请证书;另一种就是自建CA(自签名的根证书)以及颁发自己的证书。


6.关于CA与数字证书的一点闲话:

             a)CA完成签发数字证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书是对外公开的。

             b)CA为某单位发放数字证书,说白了,就是帮助该单位公布它的公钥。从而让外界准确的得到该单位的公钥。

             c)可以这样说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成的,由证书持有者自己负责保管。具体使用时,签名操作是发送方用私钥进行签名,接受方用发送方证书来验证签名;加密操作则是用接受方的证书进行加密,接受方用自己的私钥进行解密。(此话待验证)

 

7.USB Key(有待研究)

 USB Key,中文就是U盾,优key等等。USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及其数字证书。

版权声明:本文为博主原创文章,未经博主允许不得转载。

PKI/CA与数字证书学习笔记

现代密码学设计时,一般总假定密码系统的结构是公开的,或者至少为敌人所知。这一假设被称为科考夫原则(Kerckhoff's Principle)。密码系统的结构被称作密码算法,进行加密或解密操作所需的关...
  • u011130578
  • u011130578
  • 2017年03月26日 21:20
  • 1150

数字证书、公钥和私钥这三者之间的关系是什么

根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)...
  • u014386474
  • u014386474
  • 2016年07月21日 14:37
  • 6295

https中的数字证书认证过程解析

RSA非对称加密的2个用途:加密(防窃听) RSA非对称加密会用到一对密钥,分别称为公钥和私钥,公钥加密之后的数据可以通过私钥来进行解密,私钥加密的数据也同样可以用对应的公钥进行解密。在web数据...
  • jb_peng
  • jb_peng
  • 2016年06月30日 17:09
  • 3034

数字证书驱动 CA驱动

  • 2013年08月28日 10:54
  • 17.37MB
  • 下载

数字证书申请教程 CA认证

  • 2010年12月21日 00:40
  • 1006KB
  • 下载

数字证书服务器CA--实现身份认证、电子签名、数据加密

  • 2010年12月08日 13:41
  • 79KB
  • 下载

电子商务论文 数字证书 CA认证中心 电子商务

  • 2009年05月09日 13:39
  • 1.16MB
  • 下载

CA 基础知识讲座 数字证书 PPT

  • 2010年09月01日 15:52
  • 255KB
  • 下载

基于X.509标准的CA数字证书系统的设计与实现(修改稿)

  • 2010年06月17日 23:54
  • 68KB
  • 下载

Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

  • 2015年04月30日 15:05
  • 12.79MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:CA与数字证书的自结
举报原因:
原因补充:

(最多只允许输入30个字)