本文介绍了数字证书的重要概念,包括双证书的用途、CRL(证书吊销列表)的挑战与OCSP(在线证书状态协议)的优势。强调了证书的有效期、更新以及RA(注册审批机构)在证书管理中的作用。
今天继续介绍一下数字证书里一些重要的概念和知识点。
双证书
在实际应用中,证书颁发机构(CA)一般为用户颁发双证书,也就是为申请证书的用户同时颁发两张证书,并告知用户其中一张是用来加密,即加密证书,另一张用来签名,即签名证书。这两张证书的主要信息是一致的,如证书持有人,颁发机构,有效期等,但证书对应的密钥对和密钥用法不同。
我们可以通过查看证书——详细信息——密钥用法查看证书是加密证书还是签名证书。加密证书对应的密钥对用于数据的非对称加解密;签名证书对应的密钥对用于数据的数字签名及验证。
按理说,一对公私钥就可以完成加解密和数字签名,为什么要分成两对公私钥分别完成呢?这还是由密钥的使用用途决定的。密钥用于数字签名时,保证的是签名行为的不可否认性,因此私钥必须由签名者自己持有保存,如果私钥遗失,只要重新申请颁发即可,不会影响已完成数字签名的验证;而密钥用于数据加密时,保证的是数据的机密性,如果私钥遗失,则已经加密的数据无法解密,因此必须有机制将私钥保存备份在第三方(如CA),以备私钥遗失情况下数据仍能解密。由此可见,签名和加密对密钥的保存备份要求是不一样的。所以合理的做法是将用于签名和加密的密钥分开,
最低0.47元/天 解锁文章
扫一扫
4698
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
