在PKI-1,PKI-2上解释了数字签名、数字证书的概念,其中数字证书就是以CA证书为例,此外还有一些证书概念,如自颁发(self-issued)证书、自签(self-signed)证书。
PKI-2-数字签名和数字证书的概念_pki signature-CSDN博客
1. 常见概念
1.1 CA
CA:Certificate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任
1.2 CA 证书
CA证书:通常指的是颁发者和主体是不同的证书;
1.3 自颁发证书
自颁发证书:是指证书的颁发者和主体是同一个CA的证书。换言之,就是自己给自己颁发证书,这对独立的软件开发者是比较友好的操作。
1.4 自签证书
自签证书:是自颁发证书的一种特殊情形,由CA使用其私钥来对证书进行签名,而相应公钥就在证书中。 自签证书通常也称作“根证书”。
自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书,证书的申请人和签发人都是同一个。
自签名证书分为自签名私有证书和自签名CA证书两种。自签名私有证书无法被吊销,自签名CA证书可以被吊销。
1.5 特殊之处
自签证书是自颁发证书的一种,在如下情形中,一张证书是自颁发证书而不是自签证书:CA在进行密钥更替时,可能会存在两个密钥对(新密钥对和旧密钥对),可能会存在用新私钥签发旧公钥或用旧私钥签发新公钥的情形,如此形成的证书是自颁发证书,却不是自签证书。
自签名的证书无法被吊销,CA签名的证书可以被吊销。
1.6 证书需要能被吊销
对于证书的信任,是网络间进行通信的基础,如果不能吊销证书,私钥可能被黑客获取,则黑客可以伪装成你与用户进行通信。