数字证书介绍

1.数字证书的分类

1.1按持有者分类

       通常依照证书持有者的类型可将证书分为三类：个人证书、单位证书和系统证书。

个人证书：CA中心给个人颁发的证书，仅代表个人身份，证书包含个人信息和个人公钥。

单位证书：CA中心给组织机构颁发的证书，代表机构的身份，包含机构单位的信息和单位公钥。

系统证书：CA中心给应用系统或者设备颁发的证书，代表系统的身份，包含系统的信息和系统的公钥。

1.2按证书用途分类

       按照证书的用途分为签名证书和加密证书，数字证书认证系统既可支持双证书（签名证书和加密证书）的签发与管理，也可支持单证书（签名证书或加密证书）的签发与管理。其中，签名证书用于认证、完整性保护、抗抵赖等场合；加密证书用于密钥交换和数据保密等场合。

签名证书：签名证书只能用于签名和验证签名，为了密钥的安全，密钥对一般在客户端产生和保存。

加密证书：加密证书只能用于加密，其中密钥对由CA产生，通过保护算法和协议发送给用户保存，同时CA中心也保存该密钥对，以备管理和恢复。

2.数字证书格式

       公钥证书的基本结构包括三部分：待签证书域、签名算法域、签名值域，其中待签证书域分为基本域和扩展域，其中扩展域可以包含用户自定义扩展项：

                                                    

3.数字证书内容

        版本号version为证书的版本标识，目前最新版本为v3，若使用扩展项时，version=v3。序列号serialNumber为证书的唯一标识，每张证书的序列号不同。签名算法signatureAlgorithm和证书域中的签名算法相同。证书的签发者issuer是证书的颁发机构，是证书持有者的信任方。主体subject也是证书持有者，是证书的所属实体。有效期validity包含证书的生效日期和失效日期。主体公钥信息subjectPublicKeyInfo表示证书持有者的公钥信息。主体唯一标识符subjectUniqueID和签发者唯一标识符issuerUniqueID分别表示证书签发的唯一标识和证书持有者的唯一标识。扩展项extensions标识证书的扩展信息，可同时扩展多个信息。

4.证书链

          根CA是信任的源点，根CA的证书有自己签发RootCA，即颁发者和持有者都为RootCA。一级CA的证书FirstCert由根CA签发，二级CA的证书SecondCert由一级签发。从根CA到二级CA通过签发证书构成一条证书链，如图，可以看出下一级受信于上一级。在验证证书有效性时需要对证书链进行验证，其主要验证信任的来源，来证明该实体的身份是否可信。

                                                                                  

5.证书的相关编码规则

5.1 ASN.1编码

       ASN.1(Abstract Syntax Notation One)抽象文法描述语言是一种国际标准语言，其作用是为抽象的数据结构定义了一种记法。ASN.1的应用比较广泛，例如欧洲和北美等地的移动电话都是采用ASN.1对消息描述的TCAP协议，IBM、SUN、HP等使用ASN.1传输信息。ASN.1规则中将所有的数据分为两类：基本类型和结构类型，基本类型包括如整型、布尔类型、字符串等；结构类型包括如结构类型和链表等。

       ASN.1的编码规则有BER(Basic Encoding Rules)、DER(Distinguished Encoding Rules)、CER(Canonical Encoding Rules)等，DER是BER的一种特殊的编码形式，DER主要用于安全的特征的应用系统，比如涉及到加密解密技术。CER其特点是对大块数据进行编码，但CER目前还未得到广泛的应用，而DER被公认为是较好的编码规则。

       DER定长编码规则是将ASN.1的类型编码为唯一的码字，在BER的基础上又规定了一些编码规则：必须是定长编码；内容小于127的类型值，采用短型；内容大于128的类型值，采用长型；简单字符串类型。使用基本类型定长的模式编码；结构类型，使用结构类型定长模式编码。

5.2 Base64编码

        Base64编码是将任意的二进制编码成为64个ASCII码字符，64个字符包含了26个英文字母、10个数字、加号、斜杠，另外用等号进行末尾填充。

        编码过程是将二进制数据流按顺序，3个字节分组，先对3个字节编码，当最后不能凑够3个字节时，需要进行填充处理。其中，3个字节按顺序总共有24Bit，按照6Bit一组分成4组，进而每组的取值范围为0～63，最终编码成4个字符。如果最后只剩下一个字节，则后面补4位0，总共12Bit，编码后再补2个等号，如果最后剩下2个字节，则后面补2个0，编码后后面补一个等号。

       Base64的解码过程需要注意有可能编码中含有空格，所以先将空格删除，然后按照4个字符分组进行解码。若字符不是4的整数倍，则说明字符流有误。每4个字符解码成3个字节，若最后面有等号，则根据编码规则可解码出正确的二进制流。

5.3 XML文件格式

         可扩展标记语言XML（Extensible Markup Language）即描述性的标记语言，像HTML一样，从属于SGML（Standard Generalized Markup Language，标准通用标记语言）。XML主要对数据进行存储，以便在信息交互过程中传输，它的优势在于在计算机之间传输结构化的数据，程序员可以灵活的制定数据的规则，并且XML数据文件可以在多种编辑器打开查看。同时，XML是很好的跨平台性非常突出，不同的平台可以进行数据的传输。

       具体使用时通信双方应该规定好数据封装规范，首先通过标识封装不同的数据，像CA的上下级传输证书时，使用不同的标识封装整证书文件、公钥等，标识的数据经过编码得到，例如先进行Base64编码，再通过XML格式封装，解析过程正好和封装相反。