什么是数字证书？它有什么作用？

证书是验证身份的标志,有数字证书相当于有了一个认证标志,很多网站都有数字认证,像淘宝,现金交易时候就会有一个数字证书的验证 



1.数字证书基本功能

数字证书，是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。



从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息完整性和行为的不可抵赖；加密证书主要用于对用户传送信息进行加密，以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。



身份认证 

在各应用系统中，常常需要完成对使用者的身份认证，以确定谁在使用系统，可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系，其中，利用数字证书完成身份认证是其中最安全有效的一种技术手段。 



利用数字证书完成身份认证，被认证方（甲）必须先到相关数字证书运营机构申请数字证书，然后才能向应用系统认证方（乙）提交证书，完成身份认证。 

通常，使用数字证书的身份认证流程如下图所示：

 

 

被认证方（甲），使用自己的签名私钥，对随机数进行加密； 



被认证方（甲）将自己的签名证书和密文发送给认证方（乙）； 



乙验证甲所提供的签名证书的有效期、证书链，并完成黑名单检查，失败则放弃； 



有效期、证书链和黑名单验证通过后，乙即使用甲的签名证书对甲所提供的密文进行解密，成功则表明可以接受由甲提交的签名证书所申明的身份。 



在上述流程中，步骤3描述的是对证书本身的验证，依次分别验证有效期、证书链和黑名单，某个步骤如果验证失败，则验证流程立即终止，不必再执行下一个验证。同时，有效期、证书链和黑名单的依次验证顺序是最合理的顺序，能够让验证流程达到最佳性能。 



通过步骤3的验证后，甲所提交的证书可以得到验证，但这与甲本身是否和该证书所申明的实体相等没有必然联系，甲必须表明其是这个签名证书对应的唯一私钥的拥有者。因此，当步骤4执行成功后，即该签名证书能够解密，则说明甲拥有该私钥，从而完成了对甲所申明身份的认证。



上面具体描述的是单向认证，即只有乙认证甲的身份，而甲没有认证乙的身份。单向认证不是完善的安全措施，诚实可信的用户甲可能会碰到类似“钓鱼网站”的欺骗。因此在需要高度安全的应用环境中，还需要实现双向认证。即乙也需要向甲提供其签名证书，由甲来完成上述验证流程，以确认乙的身份。如下图。

 

 

数字签名 

数字签名是数字证书的重要应用功能之一，所谓数字签名是指证书用户（甲）用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者（乙）使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要，并对收到的原始数据采用相同的杂凑算法计算其消息摘要，将二者进行对比，即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护，和传送数据行为不可抵赖性的保护。 



使用数字证书完成数字签名功能，需要向相关数字证书运营机构申请具备数字签名功能的数字证书，然后才能在业务过程中使用数字证书的签名功能。



通常，使用数字证书的签名和验证数字证书签名的流程如图所示： 

 

 

签名发送方（甲）对需要发送的明文使用杂凑算法，计算摘要； 



甲使用其签名私钥对摘要进行加密，得到密文； 



甲将密文、明文和签名证书发送给签名验证方乙； 



乙一方面将甲发送的密文通过甲的签名证书解密得到摘要，另一方面将明文采用相同的杂凑算法计算出摘要； 



乙对比两个摘要，如果相同，则可以确认明文在传输过程中没有被更改，并且信息是由证书所申明身份的实体发送的。 



如果需要确认甲的身份是否和证书所申明的身份一致，则需要执行身份认证过程，如前一节所述。



在上述流程中，签名私钥配合杂凑算法的使用，可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为，提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认，需要通过身份认证过程明确。 



数字信封

数字信封是数字证书另一个重要应用功能，其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。 



数字信封中采用了对称密码机制和公钥密码机制。信息发送者（甲）首先利用随机产生的对称密钥对信息进行加密，再利用接收方（乙）的公钥加密对称密钥，被公钥加密后的对称密钥被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密钥，才能利用对称密钥解密所得到的信息。通过数字信封可以指定数据接收者，并保证数据传递过程的机密性。 



使用数字证书完成数字信封功能，需要向相关数字证书运营机构申请具备加密功能的数字证书，然后才能在业务过程中使用数字证书的数字信封功能。 



通常，数字信封和数字信封拆解的流程如图所示： 



信息发送方（甲）生成对称密钥； 



甲使用对称密钥对需要发送的信息执行加密，得到密文； 



甲使用信息接收方（乙）的加密证书中的公钥，加密对称密钥，得到数字信封； 



甲将密文和数字信封发送给乙； 



乙使用自己的加密私钥拆解数字信封，得到对称密钥；



乙使用对称密钥解密密文，得到明文。 

 

 



 

 

在上述流程中，信息发送方（甲）对用于加密明文信息的对称密钥使用接收方（乙）的加密证书进行加密得到数字信封，利用私钥的唯一性保证只有拥有对应私钥的乙才能拆解数字信封，从而阅读明文信息。据此，甲可以确认只有乙才能阅读信息，乙可以确认信息在传递过程中保持机密。 

 



1、证书申请 



  CFCA授权的证书的注册审核机构（Registration Authority，简称RA）（各商业银行、证券公司等机构），面向最终用户，负责接受各自的持卡人和商户的证书申请并进行资格审核，具体的证书审批方式和流程由各授权审核机构规定。



  证书申请表直接到RA处领取。



2、证书审批



  经审批后，RA将审核通过的证书申请信息发送给CFCA，由CFCA签发证书。



  ● 系统--CFCA将同时产生的二个码（参考号、授权码）发送到RA系统。为安全起见，RA采用两种途径将以上两个码交到证书申请者手中： RA管理员将其中授权码打印在密码信封里当面交给证书申请者；将参考号发送到证书申请者的电子邮箱里。 



  ● SET系统--持卡人/商户到RA各网点直接领取专用密码信封。



3、证书发放/下载



  CA签发的证书格式符合X.509 V3标准。具体的证书发放方式各个RA的规定有所不同。可以登陆CFCF网站http://www.cfca.com.cn
联机下载证书或者到银行领取。



4、证书生成



  证书在本地生成，证书由CFCA颁发，用户私钥由客户自己保管 



摘自：http://zhidao.baidu.com/question/27809344.html