java加密技术(十一) 认证相关

ca认证中心

 

所谓CA（Certificate Authority）认证中心，它是采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心，广东省电子商务认证有限公司是由广东省人民政府批准建立的国内较为著名的一家区域性认证机构。

 

CA的作用

CA在数字证书颁发中的作用      
在使用数字证书的可信通信中，CA是颁发公钥数字证书的实体。证书是CA关于证书包含 的公钥属于特定个人、相关机构或服务器主机的声明。在证书中还提供了其他与该特定个人 相关的信息。当用户向CA发送证书签发请求（Certificate Signing Request，CSR）以申请 证书时，CA必须对信息进行审核，然后接受申请并将证书（通常是X.509证书文件）发回给用 户。需要注意的是，各依赖方也要信任CA颁发的证书信息，它们可以用CA的公钥来解密CA的 签名，以确信该证书是由证书中提到的CA颁发的。     
要信任证书，依赖方必须信任证书链中的根证书。因此，CA提供可信的根证书，并负责 审核其签发的证书的身份。目前，数字证书之所以在Web领域内无处不在，是因为Web浏览器 自带了很多CA的根证书。这使Web用户无需导入和验证根证书，但对那些有自己的根证书而浏 览器默认又没有自带这些根证书的机构来说，其员工必须导入和验证根证书。VeriSign是最 常见的CA之一，Internet上的大多数安全网站都拥有经VeriSign审核并签发的证书。     
所有支持HTTPS的Web浏览器都使用安全套接字层（Secure Socket Layer，SSL）协议， 而后者使用     X.509证书。安全MIME（S/MIME）和增强保密邮件（Privacy Enhanced Mail，PEM）均用 于保护电子邮件的安全，它们也使用X.509证书。除公钥和身份信息外，X.509证书还包含有 效日期，指出证书何时生效与何时过期。对于证书包含的其他信息，请参阅［RFC2459］。本 章前面的例子描述过X.509证书的结构，它采用分级信任模型，每份证书都由一家机构签名， 最顶层的机构自签名自己的证书。其他证书结构采用不同的信任模型，例如，用于保护电子 邮件安全的PGP（Pretty Good Privacy）使用自定义的能多次签名的数字证书。本章将在后 面讨论信任模型。 
CA在证书撤销中的作用      
如果CA发现所颁发的证书的验证过程有误或CA的用户没有遵守其政策要求，那么CA将负 责撤销该证书。除此之外还有很多撤销证书的原因，如用户离开原来的机构、提供SSL网站服 务的机构停业、私钥被破解。作为撤销过程的一部分，CA将在证书撤销列表（Certificate R evocation List，CRL）中维护用户的证书及其序列号。CRL是被撤销的证书的清单，这些证 书都是无效的，任何系统或用户都不应信任这些证书。需要注意的是，已撤销证书到期后， 将自动从证书撤销列表中删除。 
使用证书撤销列表      
要验证证书，必须使用恰当的CRL来确保签名者的证书尚未撤销。CRL通常是一个仓库， 采用包含最新CRL的网站的URL标识。还可以通过订阅CRL仓库来下载CA发布的CRL，然后创建 一个内部CRL仓库，从而通过搜索CRL来验证签名者的信息。大多数Web服务器和Web浏览器都 支持使用CRL来验证证书。      
使用在线证书状态协议      
另一种使用CA维护的CRL来验证证书的方法是，采用在线证书状态协议（Online Certi ficate Status Protocol，OCSP），该协议是在RFC2560［RFC2560］中定义的。在这种方法 中，CA可以使用CRL或LDAP更新将撤销的证书列表发布到支持OCSP的目录中，并维护OCSP响应 器应用，该响应器根据OCSP目录中的数据来响应数字查询，其响应包括“有效（Good）”、 “已撤销（Revoked）”或“未知（Unknown）”。这使CA能创建可自动检查证书撤销情况的 Web浏览器插件。由于OSCP是一项标准协议，因此应用开发人员也可以通过编写代码来查询O SCP响应器。OSCP的缺点是它不允许带外验证，而且速度可能很慢，这是因为每个响应都必须 由CA签名，因此当查询用户和已撤销的证书数量很多时，CA可能应接不暇。

根证书

  在密码学和计算机安全领域中，根证书是未被签名的公钥证书或自签名的证书

   根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。

   从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA 中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。

 

网站https访问de验证

 https需要SSL证书才能实现访问，SSL证书可以直接生成也可以到CA机构申请购买，区别在于，自己生成的SSL证书不受浏览器信任，存在安全风险，访客访问的时候浏览器会提示风险，阻止访问。CA机构签发的SSL证书几乎所有的浏览器都信任，如果其通过webtrust国际认证的话，显示为绿色的安全锁和https，不想花钱购买SSL证书的也可以去沃通CA申请免费的SSL证书，不过免费的SSL证书只能起到加密作用，不能证明服务器真实身份。

浏览器如何验证SSL证书？

在浏览器的菜单中点击“工具 /Internet选项”，选择“内容”标签，点击“证书”按钮，然后就可以看到IE浏览器已经信任了许多“中级证书颁发机构”和“受信任的根证书颁发机 构”。当我们在访问该网站时，浏览器就会自动下载该网站的SSL证书，并对证书的安全性进行检查。由于证书是分等级的，网站拥有者可能从根证书颁发机构领到证书，也可能从根证书的下一级(如某个国家的认证中心，或者是某个省发出的证书)领到证书。假设 我们正在访问某个使用了SSL技术的网站，IE浏览器就会收到了一个SSL证书，如果这个证书是由根证书颁发机构签发的，IE浏览器就会按照下面的步骤来 检查:浏览器使用内置的根证书中的公钥来对收到的证书进行认证，如果一致，就表示该安全证书是由可信任的颁证机构签发的，这个网站就是安全可靠的;如果该 SSL证书不是根服务器签发的，浏览器就会自动检查上一级的发证机构，直到找到相应的根证书颁发机构，如果该根证书颁发机构是可信的，这个网站的SSL证 书也是可信的。浏览器需经过以下5个方面的检查后，才会在页面显示安全锁标志，正常显示部署了SSL证书的加密页面。第 一，检查SSL 证书是否是由浏览器中“受信任的根证书颁发机构”颁发？如果不是，则浏览器会有安全警告，为 IE7 浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据，建议关闭此网 页，并且不要继续浏览该网站。”IE6浏览器会提示 “该安全证书由您没有选定信任的公司颁发”。第二，检查SSL证书中的证书吊销列表，检查证书是否被证书颁发机构吊销？如果已经被吊销，则会显示警告信息：“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”第三，检查此SSL证书是否过期？如果证书已经过了有效期，则会显示警告信息：“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”第四，检查部署此SSL证书的网站的域名是否与证书中的域名一致？如果不一致，则浏览器也会显示警告信息：“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”第五，IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单？如果是，则会显示：“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页，并且不要继续浏览该网站。”提示:通常证书都有一个有效日期，如果证书过期了，就应该提高警惕了。