有关数字证书的技术名词解析 [转贴 ]
一、技术名词解析
什么是公钥基础设施(PKI)?
PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如,某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。在将来,企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。
PKI让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点,只对其信任的客户发送信息。
PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的身份这种信任机制。例如,许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构--政府,因而他们也就信任这些证件。然而,一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。
通过公钥基础设施(PKI),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)。典型的是采用数字证书的应用软件和CA信任有相同的机制。例如,客户端浏览器中根证书列表中包含了它所信任CA的根证书,当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候,此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书,如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后,浏览器承认此站点的具有合法身份并显示此站点的网页。如果该认证中心根证书不存在信任CA根证书列表中,浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常地,浏览器会弹出提供永久的信任、临时的信任或或不相信该认证中心的选项对话框给客户选择,因为作为客户来说,他们有权选择信任哪些认证中心,而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。
如何实现加密?
加密技术是使数据不可读的处理过程。有许多不同的(和复杂的)打乱和恢复信息的方法。
在互联网上,加密技术主要有两种用途。一种是访问使用了服务器证书的安全Web站点(例如在线购物),故称之为服务器端加密技术。另一种用于接收和发送加密电子邮件。这两种用途中的加密处理方法都包含了交换公钥过程。
在加密过程中,使用公钥或私钥来加密信息,反之使用与之匹配的私钥或公钥来解密信息。这看起来像是用一把钥匙上锁而用另一把钥匙开锁。例如,当访问一个安全Web站点时,客户端计算机接收到这个Web站点的公钥(公钥存储在证书里),客户端计算机对WEB站点发送的信息使用WEB站点的公钥加密,解密这些信息的唯一方法是Web站点使用他们的私钥。
同样的处理方法也适用于安全电子邮件。在向其他人发送加密信息之前,你需要得到包含其公钥的数字证书,电子邮件应用软件使用其公钥对信息进行加密处理,发送后,接收者使用他们的私钥对信息进行加密,不掌握接收者私钥的其他方都无法完成该信息的解密工作。由此,你可以向希望给你发送邮件的人发送你的数字证书。值得注意的是,你务必请保护好自己的私钥,因为它用于解密发送给你的信息。
怎样实现数字签名?
当使用一个程序对信息进行数字签名时,至少要将数字证书的公共部分和其它信息加在一起,才能确认邮件信息的完整性。
在邮件信息和数字证书发送之前,信息要经过散列算法的加密,就是将所要发送的信息经过算术处理产生一个特征序列,这个序列是唯一的,只能由原文产生。产生的序列叫做信息摘要。
必须知道散列算法只能单向快速的运行,但很难逆向运算恢复原文。这就是说,电子邮件程序可以将邮件信息经过散列算法快速产生唯一的信息摘要。然而,如果只有信息摘要,要数年的时间才能解密得到原文。
程序产生信息摘要之后,就用发送者的私钥对信息摘要加密,这是特别重要的。如果只发送邮件和信息摘要,别人可以很容易的修改信息原文,重新产生一个信息摘要,并以你的身份发送出去。
如果只对邮件进行数字签名而不进行加密,电子邮件应用会将数字证书和签名后的信息摘要作为附件随邮件明文一起发送,因此,别人仍然能阅读信息的内容(有效的解决方法是在签名后加上加密选项)。
当接受方收到邮件时,用发送方的数字证书(公钥)解密信息摘要进行验证。然后程序用相同的散列算法计算邮件的信息摘要,并比较结果。如果产生了的信息摘要和邮件所含的信息摘要是相同的,那么说明邮件在传输过程中没有被篡改,由此保证了信息确实是由验证该信息对应的公钥持有着(证书持有着)发送的。
什么是数字证书密钥对?
当与其他个人或企业通过网络环境进行通信时,需要建立一个安全的交换信息信道来保证不会有第三方非法用户截获和读取信息,现在最先进的加密数据的方法是通过使用密钥对方式。密钥对包含一个公钥和一个私钥。我们可把开锁的钥匙比作密钥,不同的是密钥是一对钥匙,一把用于锁门来保证安全,即加密;而另一把用语开门,即解密。
应用软件使用密钥对中的一个密钥来加密文档。必须用用与之匹配的另一个密钥来解密信息。但怎样才能保证信息被安全地发到信息接受方而途中不被他人截获?
通过使用密钥对就可解决上述问题。当申请一个数字证书时,浏览器生成一个私钥和一个公钥。私钥只被证书申请者使用,而公钥会成为数字证书的一部分。浏览器会要求你提供一个在你访问私钥时的口令,该口令只有自己知道,这点是非常重要的(口令不要是自己的生日或别人容易猜到的数字或字母)。
收到并安装数字证书后,把数字证书发给任何需要发送信息给你的人。在数字证书中包含了用于加密信息的公钥。别人给你发送信息时会使用你的公钥对信息进行加密。因为只有你有与之匹配的私钥,所以只有你才能够解密用你的公钥加密的信息。
同样的,当你想要向别人发送加密的信息,你必须首先获得他们的公钥。你可以在目录中服务器中(一般,CA系统在签发证书的同时会将该证书发布到公开的目录服务器中供其他客户查询、下载用)查找他们的数字证书。如果你只有经过签名处理的电子邮件,你的电子邮件应用软件一般会自动的保存发送方的数字证书。
什么是数字证书?
数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。一些软件程序 用数字证书来向其他人或企业证明证书持有者的身份。这里是两个普通的例子:
使用在线银行系统时,银行必须确认客户的真实身份,通过身份核实后的客户才能进入在线银行的相关页面进行相应的帐户管理操作,如:转帐、查询帐务。这就象驾驶执照或是护照一样,数字证书向在线银行证实了你的真实身份。
当要给别人发送重要的电子邮件时,电子邮件程序会用你的数字证书对邮件信息进行签名。数字签名有两个作用:很容易证明邮件是由你发送的,还能证明电子邮件在传送的时候没有受到篡改。
一个数字证书一般包括下列内容:
Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。
什么是服务器证书?
服务器证书是安装在你的WEB服务器上,你可将服务器证书视为一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,且可以通过服务器证书进行具有SSL加密的通讯过程。
什么是鉴别与加密?
服务器证书如何操作?
私用数字证书都是由企业内的私用认证中心发行,而所有的私用数字证书都与其根CA公钥连结在一起,以辨识是机构在管理证书的层级。当您购买了证书服务器并开始运作之后,您就可以建立起自己的根CA公钥。然而,您必须将根CA公钥发送给所有能接收并辨识私用数字证书的软件才行。这对于使用S/MIME格式的安全电子邮件会产生一个极大问题,因为几乎企业中的每一个人都有对外界发送电子邮件的机会,而这些企业外部电子邮件收信人的应用程序并没有您企业的根CA公钥。所以,私用数字证书比较适合注重企业内部联系的企业使用。
相较下,迅通诚信代理的FreeSSL公用数字证书的根CA公钥早就嵌入到能支持证书的主要应用程序中了,包括网景公司和微软公司的网页浏览器及电子邮件程序,以及将近四十家的网页服务器厂商。公用数字证书比较适合供常需与外界联系的企业的应用环境使用。由迅通诚信签发中心签发的数字证书在国内范围内的所有客户都有相同的根证书,因此都可以很容易互相认证,比较适合供常需与外界联系的企业的应用环境使用。例如安全电子邮件就是一个例子,因为使用者除了在企业内发送讯息之外,也常须对外界发送电子邮件。
二、数字证书的使用
为什么需要数字证书?
虚拟商场、电子银行以及其它的电子服务正在变得越来越普遍。然而,你也会担心网上应用的安全性,从而使你在获取便利、快捷的服务面前裹步不前。数字证书能够帮助你解决安全问题。
或者,你的企业建立了新的内部网络需要你在工作中使用数字证书。因为你将要在工作中使用这种新技术,你需要快速地学习使用数字证书。
为了保证Web站点和客户端网络应用系统之间传递的数据不可读需要使用数字证书。虽然加密是强有力的工具,但只有加密技术还不足以保护信息传递的安全性。
加密技术不能够证明你的身份或发送加密信息给你的发送者身份。例如,某在线交易的证券企业有自己的站点并通过其网页向客户发送加密信息。这个站点会要求用户输入自己的用户名及口令。这些用户名和口令极容易被截获并且不能用来证明用户的身份。没有其它的安全措施,非法第三方能够冒充合法在线用户并骗取该用户的帐号或其他有效的私人信息。
数字证书提供了电子验证身份的方法,提供了更完全的解决方案来验证有关交易过程中各参与方的真实身份。
数字证书提供了被称作"不可否认性"的功能,从根本上防止有人否认他发送过的信息。例如,当你使用信用卡的时候,你必须在在批准支付的收据上签名。因为在收据上签字是必不可少的。所以,你可以通过比较签名来证明别人偷走或使用了你的信用卡。在网络上发送支付确认指令时,通过不可否认的功能,自动产生"授权签名",签名过程中使用了客户的私钥。如果有人想要生成你的"授权签名",除非他有你的私钥以及用来保护私钥的口令,否则无法生成你的"授权签名"。这就是为什么绝不能告诉其他任何人你的私钥保护口令,这一点是至为重要的。
如何保护你的数字证书和私钥?
1. 我的私钥怎样保存?
私钥可以通过两种方式保存:
一般来说,可以很简单的使用密码将你的计算机完全的保护起来。不使用密码就象填好支票后将支票本放在桌上一样不安全。
--------------------------------------------------------------------------------
2. 我该怎样保存我的私钥?
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施(例如系统密码)。采取措施来防病毒,因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
--------------------------------------------------------------------------------
3. 什么是好的密码?
一个好的密码要足够的长和足够的特别,通过彻底搜寻(例如使用目录)也不能被查到,好的密码应该是你很容易就能记住而别人很难猜到的密码;最好使用八位以上的密码,不要使用容易与你某些事情联系起来的密码,比如你的电话号码、生日或是你家庭成员的名字。不要是用英文单词、常见的术语或是你以前用过的密码;如果将密码写下来了,不要放到容易找到的地方。
--------------------------------------------------------------------------------
4. 我的计算机将我的密码保存在哪儿?
你的私钥一般以加密的形式保存在参数选择或配置文件里,只能用你的私钥保护密码才能打开。
--------------------------------------------------------------------------------
5. 我需要在家里和办公室都使用我的数字证书,我可以安全的在计算机之间移动我的私钥和数字证书吗?
在计算机之间移动密钥和数字证书是可能的,只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时,使用安全的密码来保护你的密钥是非常重要的。
--------------------------------------------------------------------------------
6. 我在没有获得一个新证书的情况下可以更改我保护私钥的密码吗?
可以。你的密码加密了你的证书私钥。可以用产生这个密码的程序更改密码(重新加密你的私钥)。如果你认为其它人有可能知道你的密码时,你应该立刻更改密码。
--------------------------------------------------------------------------------
7. 我忘了我的私钥密码,有人能帮我更换掉它吗?
不能。如果你忘了你的私钥密码,没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效,除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥(该方式一般在支持双密钥对体系中)。有些情况下,你还需要重新安装你的电子邮件程序和网络浏览器。
--------------------------------------------------------------------------------
8. 在我忘了我的密码时没有人能帮助我,这听起来非常不友好,为什么?
这是介于安全和便利之间的矛盾。如果有方法让其他人能为你恢复私钥密码,那他或者她也能盗用密码以达到其不可告人的目的。证书仍然是新的,但证书私钥可能已经被外泄,也就是说,该证书持有者进行的交易已经不具备不可否认性。将来可能可以将你的私钥不加密地保存在一张软盘上(不需要密码),而软盘被放在安全的地方,比如保管箱。微软和网景都是在这样的系统上运作的。如果你忘了正常加密的密码,可以用这张软盘来恢复你的证书的私钥。
--------------------------------------------------------------------------------
9. 有人偷了我的计算机,他们现在拥有我的证书的私钥吗?
如果你使用了一个好的密码来保护你的私钥,那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系,要求废除你的证书,然后给你发放一个新的证书(有新的密钥对)。
--------------------------------------------------------------------------------
10. 有人偷了我的计算机,而我已经选择不要密码保护我的私钥,我现在该怎么办?
你应该立即通知你的CA你的私钥受到安全威胁,它会安排撤销你的证书并给你颁发新的证书。注意:虽然关系伙伴一般都会检查证书的撤销状态,但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
数字证书的应用
数字证书可以在网景浏览器3.0或更高级版本(Win95,NT,Sun Solaris 2.5、2.6,SGI Irix 6.x和HP-UX 10.20)和微软认证2.0升级版IE浏览器3.02或更高版本(在x86平台上的Win95和Win NT 3.5x或较新版本)上使用。
使用数字证书签名和加密电子邮件,依靠Netscape Messenger、Microsoft Outlook 、 Outlook Express和其它遵循安全电子邮件扩展协议的程序,例如:Deming,、Frontier、 Pre-mail、Opensoft、Connectsoft、和Eudora的支持。
最新的浏览器插件(特别是网景浏览器和微软IE浏览器)都附带了电子邮件程序(Netscape Messenger 和Microsoft Outlook Express),所以,通过插件获得的数字证书在电子邮件和站点上都能使用。如果使用Netscape Messenger 或Microsoft Outlook Express之外的电子邮件服务程序,你需要通过电子邮件厂商来获得数字证书。
发送/接收安全电子邮件
1. 电子邮件的签名与加密有什么区别?
对电子邮件签名是指在发送电子邮件时附上发送者对电子邮件的签名信息,使得邮件接收者能确认邮件来自发送方,且在传送过程中没有被篡改。数字签名只证实信息的真实性,它并不能抵御第三方窃听邮件。对电子邮件加密是指使用某种方式把邮件内容变成不可读的乱码,只有指定的接收者才可以把这些乱码还原成邮件内容,从而确保不被第三方窃听。要对欲发送的信息签名,发送者本人须有自己的数字证书;要对欲发送的信息加密,应使用接收者的数字证书。
--------------------------------------------------------------------------------
2. 怎样阅读被加密的邮件?
若电子邮件已经被正确加密,接收者不必做任何操即可阅读--它会象其它普通可读的信件一样显示在邮箱中。这是因为数字证书会被邮件软件自动识别并解密加密的信息。
--------------------------------------------------------------------------------
3. 如何才能知道所接收的电子邮件已被签名或是已被加密?
Netscape Communicator 用户:收到的任何签名邮件都会在邮件右上角有明显的图标,来表示该邮件是经签名或经加密或者二者皆有。如果想知道有关该邮件安全方面的更多信息,请单击邮件上方的安全按钮(图标类似一把挂锁)。
Microsoft Internet Explorer 用户:收件箱(或其它文件夹)中的信封图标上显示"红缎带"表示收到的信息经过签名,加密邮件会在信封图标上显示一把挂锁。
--------------------------------------------------------------------------------
4. 可以向没有数字证书的人发送安全(签名/加密)电子邮件吗?
若想对电子邮件加密,就必须得拥有电子邮件接收者的数字证书;若接收方的电子邮件应用软件支持S/MIME,则向其发送签名信息。
--------------------------------------------------------------------------------
5. 哪些电子邮件应用软件支持安全(签名/加密)电子邮件?
以下电子邮件应用软件支持安全(签名/加密)电子邮件:
6. 能够用Web浏览器数字证书签名邮件吗?是否需要一个单独的电子邮件数字证书?
最新的Web浏览器套件 (特别是Netscape Communicator和Microsoft Internet Explorer 4.0及更高版本)自带电子邮件应用软件,使用这些浏览器套件获得的数字证书可以用于电子邮件和Web浏览。如果使用的是不同的电子邮件应用软件,则需要通过电子邮件应用软件得到新的数字证书。
--------------------------------------------------------------------------------
7. 同一数字证书可以用于多个电子邮件地址吗?
不行。签发数字证书时,需要确定其公钥与某个对应的电子邮件地址绑定,因此,不同的电子邮件地址须使用不同的数字证书。
如何备份数字证书?
第一步:打开IE窗口,选择"工具"--"internet选项",选择"内容",点击"证书"
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第二步:选择您需要备份的证书,点击"导出"
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第三步:进入证书导出界面,点击下一步
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第四步:如果您是想要保存自己的私钥信息,请选择导出私钥
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第五步:选择导出文件的格式
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第六步:设置私钥保护密码,谨慎保护此密码,只用拥有此密码才可以使用导出的私钥文件
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第七步:指定导出文件的存放路径,点击下一步。建议将私钥备份到可移动的存储设备中,如:软盘等
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第八步:点击"完成"。
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
为什么证书服务不能退?
证书服务作为一种定制化的服务,它相当于网络中运用的身份证
1) CA中心签发证书前要对申请人进行严格的审核鉴证,相当于进行定制化的服务,好比根据客户要求定制了一件产品,这是专属于用户本身的,如果废止这一定制过程已经发生,其中发生的成本需要有效分解。
2) CA中心在签发证书的同时,也承担了证书使用者违规使用证书带来的法律上风险,而且用户即便吊销证书,CA中心也必须将此证书备案管理,这些都构成了CA中心的运营成本。
| 什么是公钥基础设施(PKI)? 怎样实现数字签名? 什么是数字证书? 什么是服务器证书? 服务器证书如何操作? | 如何实现加密? 什么是数字证书密钥对? 什么是SSL? 什么是鉴别与加密? 公用数字证书与私用数字证书有哪些区别? |
PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如,某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。在将来,企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。
PKI让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点,只对其信任的客户发送信息。
PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的身份这种信任机制。例如,许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构--政府,因而他们也就信任这些证件。然而,一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。
通过公钥基础设施(PKI),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)。典型的是采用数字证书的应用软件和CA信任有相同的机制。例如,客户端浏览器中根证书列表中包含了它所信任CA的根证书,当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候,此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书,如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后,浏览器承认此站点的具有合法身份并显示此站点的网页。如果该认证中心根证书不存在信任CA根证书列表中,浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常地,浏览器会弹出提供永久的信任、临时的信任或或不相信该认证中心的选项对话框给客户选择,因为作为客户来说,他们有权选择信任哪些认证中心,而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。
如何实现加密?
加密技术是使数据不可读的处理过程。有许多不同的(和复杂的)打乱和恢复信息的方法。
在互联网上,加密技术主要有两种用途。一种是访问使用了服务器证书的安全Web站点(例如在线购物),故称之为服务器端加密技术。另一种用于接收和发送加密电子邮件。这两种用途中的加密处理方法都包含了交换公钥过程。
在加密过程中,使用公钥或私钥来加密信息,反之使用与之匹配的私钥或公钥来解密信息。这看起来像是用一把钥匙上锁而用另一把钥匙开锁。例如,当访问一个安全Web站点时,客户端计算机接收到这个Web站点的公钥(公钥存储在证书里),客户端计算机对WEB站点发送的信息使用WEB站点的公钥加密,解密这些信息的唯一方法是Web站点使用他们的私钥。
同样的处理方法也适用于安全电子邮件。在向其他人发送加密信息之前,你需要得到包含其公钥的数字证书,电子邮件应用软件使用其公钥对信息进行加密处理,发送后,接收者使用他们的私钥对信息进行加密,不掌握接收者私钥的其他方都无法完成该信息的解密工作。由此,你可以向希望给你发送邮件的人发送你的数字证书。值得注意的是,你务必请保护好自己的私钥,因为它用于解密发送给你的信息。
怎样实现数字签名?
当使用一个程序对信息进行数字签名时,至少要将数字证书的公共部分和其它信息加在一起,才能确认邮件信息的完整性。
在邮件信息和数字证书发送之前,信息要经过散列算法的加密,就是将所要发送的信息经过算术处理产生一个特征序列,这个序列是唯一的,只能由原文产生。产生的序列叫做信息摘要。
必须知道散列算法只能单向快速的运行,但很难逆向运算恢复原文。这就是说,电子邮件程序可以将邮件信息经过散列算法快速产生唯一的信息摘要。然而,如果只有信息摘要,要数年的时间才能解密得到原文。
程序产生信息摘要之后,就用发送者的私钥对信息摘要加密,这是特别重要的。如果只发送邮件和信息摘要,别人可以很容易的修改信息原文,重新产生一个信息摘要,并以你的身份发送出去。
如果只对邮件进行数字签名而不进行加密,电子邮件应用会将数字证书和签名后的信息摘要作为附件随邮件明文一起发送,因此,别人仍然能阅读信息的内容(有效的解决方法是在签名后加上加密选项)。
当接受方收到邮件时,用发送方的数字证书(公钥)解密信息摘要进行验证。然后程序用相同的散列算法计算邮件的信息摘要,并比较结果。如果产生了的信息摘要和邮件所含的信息摘要是相同的,那么说明邮件在传输过程中没有被篡改,由此保证了信息确实是由验证该信息对应的公钥持有着(证书持有着)发送的。
什么是数字证书密钥对?
当与其他个人或企业通过网络环境进行通信时,需要建立一个安全的交换信息信道来保证不会有第三方非法用户截获和读取信息,现在最先进的加密数据的方法是通过使用密钥对方式。密钥对包含一个公钥和一个私钥。我们可把开锁的钥匙比作密钥,不同的是密钥是一对钥匙,一把用于锁门来保证安全,即加密;而另一把用语开门,即解密。
应用软件使用密钥对中的一个密钥来加密文档。必须用用与之匹配的另一个密钥来解密信息。但怎样才能保证信息被安全地发到信息接受方而途中不被他人截获?
通过使用密钥对就可解决上述问题。当申请一个数字证书时,浏览器生成一个私钥和一个公钥。私钥只被证书申请者使用,而公钥会成为数字证书的一部分。浏览器会要求你提供一个在你访问私钥时的口令,该口令只有自己知道,这点是非常重要的(口令不要是自己的生日或别人容易猜到的数字或字母)。
收到并安装数字证书后,把数字证书发给任何需要发送信息给你的人。在数字证书中包含了用于加密信息的公钥。别人给你发送信息时会使用你的公钥对信息进行加密。因为只有你有与之匹配的私钥,所以只有你才能够解密用你的公钥加密的信息。
同样的,当你想要向别人发送加密的信息,你必须首先获得他们的公钥。你可以在目录中服务器中(一般,CA系统在签发证书的同时会将该证书发布到公开的目录服务器中供其他客户查询、下载用)查找他们的数字证书。如果你只有经过签名处理的电子邮件,你的电子邮件应用软件一般会自动的保存发送方的数字证书。
什么是数字证书?
数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。一些软件程序 用数字证书来向其他人或企业证明证书持有者的身份。这里是两个普通的例子:
使用在线银行系统时,银行必须确认客户的真实身份,通过身份核实后的客户才能进入在线银行的相关页面进行相应的帐户管理操作,如:转帐、查询帐务。这就象驾驶执照或是护照一样,数字证书向在线银行证实了你的真实身份。
当要给别人发送重要的电子邮件时,电子邮件程序会用你的数字证书对邮件信息进行签名。数字签名有两个作用:很容易证明邮件是由你发送的,还能证明电子邮件在传送的时候没有受到篡改。
一个数字证书一般包括下列内容:
- 你的公钥
- 你的名字和电子邮件地址
- 公钥的有效期限
- 发证机构的名称
- 数字证书的序列号
- 发证机构的数字签名
Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。
什么是服务器证书?
服务器证书是安装在你的WEB服务器上,你可将服务器证书视为一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,且可以通过服务器证书进行具有SSL加密的通讯过程。
什么是鉴别与加密?
- SSL服务器鉴别
- 加密的SSL联机
服务器证书如何操作?
- 用户连接到你的Web站点,该Web站点受服务器证书所保护。(可由查看 URL的开头是否为"https:"来进行辩识,或浏览器会提供你相关的信息)。
- 你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。
- 用户的网页浏览器程序产生一把唯一的"会话钥匙码",用以跟网站之间所有的通讯过程进行加密。
- 使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码。
- 现在,具有安全性的通讯过程已经建立。这个过程仅需几秒中时间,且使用者不需进行任何动作。依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示目前的工作阶段具有安全性。
私用数字证书都是由企业内的私用认证中心发行,而所有的私用数字证书都与其根CA公钥连结在一起,以辨识是机构在管理证书的层级。当您购买了证书服务器并开始运作之后,您就可以建立起自己的根CA公钥。然而,您必须将根CA公钥发送给所有能接收并辨识私用数字证书的软件才行。这对于使用S/MIME格式的安全电子邮件会产生一个极大问题,因为几乎企业中的每一个人都有对外界发送电子邮件的机会,而这些企业外部电子邮件收信人的应用程序并没有您企业的根CA公钥。所以,私用数字证书比较适合注重企业内部联系的企业使用。
相较下,迅通诚信代理的FreeSSL公用数字证书的根CA公钥早就嵌入到能支持证书的主要应用程序中了,包括网景公司和微软公司的网页浏览器及电子邮件程序,以及将近四十家的网页服务器厂商。公用数字证书比较适合供常需与外界联系的企业的应用环境使用。由迅通诚信签发中心签发的数字证书在国内范围内的所有客户都有相同的根证书,因此都可以很容易互相认证,比较适合供常需与外界联系的企业的应用环境使用。例如安全电子邮件就是一个例子,因为使用者除了在企业内发送讯息之外,也常须对外界发送电子邮件。
二、数字证书的使用
| 为什么需要数字证书? 数字证书的应用 发送/接收安全电子邮件 | 如何保护你的数字证书和私钥? 发送/接收安全电子邮件 为什么证书服务不能退? |
虚拟商场、电子银行以及其它的电子服务正在变得越来越普遍。然而,你也会担心网上应用的安全性,从而使你在获取便利、快捷的服务面前裹步不前。数字证书能够帮助你解决安全问题。
或者,你的企业建立了新的内部网络需要你在工作中使用数字证书。因为你将要在工作中使用这种新技术,你需要快速地学习使用数字证书。
为了保证Web站点和客户端网络应用系统之间传递的数据不可读需要使用数字证书。虽然加密是强有力的工具,但只有加密技术还不足以保护信息传递的安全性。
加密技术不能够证明你的身份或发送加密信息给你的发送者身份。例如,某在线交易的证券企业有自己的站点并通过其网页向客户发送加密信息。这个站点会要求用户输入自己的用户名及口令。这些用户名和口令极容易被截获并且不能用来证明用户的身份。没有其它的安全措施,非法第三方能够冒充合法在线用户并骗取该用户的帐号或其他有效的私人信息。
数字证书提供了电子验证身份的方法,提供了更完全的解决方案来验证有关交易过程中各参与方的真实身份。
数字证书提供了被称作"不可否认性"的功能,从根本上防止有人否认他发送过的信息。例如,当你使用信用卡的时候,你必须在在批准支付的收据上签名。因为在收据上签字是必不可少的。所以,你可以通过比较签名来证明别人偷走或使用了你的信用卡。在网络上发送支付确认指令时,通过不可否认的功能,自动产生"授权签名",签名过程中使用了客户的私钥。如果有人想要生成你的"授权签名",除非他有你的私钥以及用来保护私钥的口令,否则无法生成你的"授权签名"。这就是为什么绝不能告诉其他任何人你的私钥保护口令,这一点是至为重要的。
如何保护你的数字证书和私钥?
1. 我的私钥怎样保存?
私钥可以通过两种方式保存:
- 以文件的形式保存在你的计算机硬盘中,这样你可以很容易控制对它的访问。
- 产生私钥时,使用的软件(例如浏览器)可能会要求你提供一个密码,通过这个密码来保护私钥免被非法使用。对于Microsoft IE用户, 私钥可以由Windows的密码保护。
一般来说,可以很简单的使用密码将你的计算机完全的保护起来。不使用密码就象填好支票后将支票本放在桌上一样不安全。
--------------------------------------------------------------------------------
2. 我该怎样保存我的私钥?
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施(例如系统密码)。采取措施来防病毒,因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
--------------------------------------------------------------------------------
3. 什么是好的密码?
一个好的密码要足够的长和足够的特别,通过彻底搜寻(例如使用目录)也不能被查到,好的密码应该是你很容易就能记住而别人很难猜到的密码;最好使用八位以上的密码,不要使用容易与你某些事情联系起来的密码,比如你的电话号码、生日或是你家庭成员的名字。不要是用英文单词、常见的术语或是你以前用过的密码;如果将密码写下来了,不要放到容易找到的地方。
--------------------------------------------------------------------------------
4. 我的计算机将我的密码保存在哪儿?
你的私钥一般以加密的形式保存在参数选择或配置文件里,只能用你的私钥保护密码才能打开。
--------------------------------------------------------------------------------
5. 我需要在家里和办公室都使用我的数字证书,我可以安全的在计算机之间移动我的私钥和数字证书吗?
在计算机之间移动密钥和数字证书是可能的,只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时,使用安全的密码来保护你的密钥是非常重要的。
--------------------------------------------------------------------------------
6. 我在没有获得一个新证书的情况下可以更改我保护私钥的密码吗?
可以。你的密码加密了你的证书私钥。可以用产生这个密码的程序更改密码(重新加密你的私钥)。如果你认为其它人有可能知道你的密码时,你应该立刻更改密码。
--------------------------------------------------------------------------------
7. 我忘了我的私钥密码,有人能帮我更换掉它吗?
不能。如果你忘了你的私钥密码,没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效,除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥(该方式一般在支持双密钥对体系中)。有些情况下,你还需要重新安装你的电子邮件程序和网络浏览器。
--------------------------------------------------------------------------------
8. 在我忘了我的密码时没有人能帮助我,这听起来非常不友好,为什么?
这是介于安全和便利之间的矛盾。如果有方法让其他人能为你恢复私钥密码,那他或者她也能盗用密码以达到其不可告人的目的。证书仍然是新的,但证书私钥可能已经被外泄,也就是说,该证书持有者进行的交易已经不具备不可否认性。将来可能可以将你的私钥不加密地保存在一张软盘上(不需要密码),而软盘被放在安全的地方,比如保管箱。微软和网景都是在这样的系统上运作的。如果你忘了正常加密的密码,可以用这张软盘来恢复你的证书的私钥。
--------------------------------------------------------------------------------
9. 有人偷了我的计算机,他们现在拥有我的证书的私钥吗?
如果你使用了一个好的密码来保护你的私钥,那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系,要求废除你的证书,然后给你发放一个新的证书(有新的密钥对)。
--------------------------------------------------------------------------------
10. 有人偷了我的计算机,而我已经选择不要密码保护我的私钥,我现在该怎么办?
你应该立即通知你的CA你的私钥受到安全威胁,它会安排撤销你的证书并给你颁发新的证书。注意:虽然关系伙伴一般都会检查证书的撤销状态,但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
数字证书的应用
数字证书可以在网景浏览器3.0或更高级版本(Win95,NT,Sun Solaris 2.5、2.6,SGI Irix 6.x和HP-UX 10.20)和微软认证2.0升级版IE浏览器3.02或更高版本(在x86平台上的Win95和Win NT 3.5x或较新版本)上使用。
使用数字证书签名和加密电子邮件,依靠Netscape Messenger、Microsoft Outlook 、 Outlook Express和其它遵循安全电子邮件扩展协议的程序,例如:Deming,、Frontier、 Pre-mail、Opensoft、Connectsoft、和Eudora的支持。
最新的浏览器插件(特别是网景浏览器和微软IE浏览器)都附带了电子邮件程序(Netscape Messenger 和Microsoft Outlook Express),所以,通过插件获得的数字证书在电子邮件和站点上都能使用。如果使用Netscape Messenger 或Microsoft Outlook Express之外的电子邮件服务程序,你需要通过电子邮件厂商来获得数字证书。
发送/接收安全电子邮件
1. 电子邮件的签名与加密有什么区别?
对电子邮件签名是指在发送电子邮件时附上发送者对电子邮件的签名信息,使得邮件接收者能确认邮件来自发送方,且在传送过程中没有被篡改。数字签名只证实信息的真实性,它并不能抵御第三方窃听邮件。对电子邮件加密是指使用某种方式把邮件内容变成不可读的乱码,只有指定的接收者才可以把这些乱码还原成邮件内容,从而确保不被第三方窃听。要对欲发送的信息签名,发送者本人须有自己的数字证书;要对欲发送的信息加密,应使用接收者的数字证书。
--------------------------------------------------------------------------------
2. 怎样阅读被加密的邮件?
若电子邮件已经被正确加密,接收者不必做任何操即可阅读--它会象其它普通可读的信件一样显示在邮箱中。这是因为数字证书会被邮件软件自动识别并解密加密的信息。
--------------------------------------------------------------------------------
3. 如何才能知道所接收的电子邮件已被签名或是已被加密?
Netscape Communicator 用户:收到的任何签名邮件都会在邮件右上角有明显的图标,来表示该邮件是经签名或经加密或者二者皆有。如果想知道有关该邮件安全方面的更多信息,请单击邮件上方的安全按钮(图标类似一把挂锁)。
Microsoft Internet Explorer 用户:收件箱(或其它文件夹)中的信封图标上显示"红缎带"表示收到的信息经过签名,加密邮件会在信封图标上显示一把挂锁。
--------------------------------------------------------------------------------
4. 可以向没有数字证书的人发送安全(签名/加密)电子邮件吗?
若想对电子邮件加密,就必须得拥有电子邮件接收者的数字证书;若接收方的电子邮件应用软件支持S/MIME,则向其发送签名信息。
--------------------------------------------------------------------------------
5. 哪些电子邮件应用软件支持安全(签名/加密)电子邮件?
以下电子邮件应用软件支持安全(签名/加密)电子邮件:
- Outlook and Outlook Express, the e-mail application within Microsoft Internet Explorer 4.0
- Netscape Messenger, the e-mail application within Netscape Communicator
- Deming
- Frontier
- Pre-mail
- Opensoft
- Connectsoft
- Eudora
6. 能够用Web浏览器数字证书签名邮件吗?是否需要一个单独的电子邮件数字证书?
最新的Web浏览器套件 (特别是Netscape Communicator和Microsoft Internet Explorer 4.0及更高版本)自带电子邮件应用软件,使用这些浏览器套件获得的数字证书可以用于电子邮件和Web浏览。如果使用的是不同的电子邮件应用软件,则需要通过电子邮件应用软件得到新的数字证书。
--------------------------------------------------------------------------------
7. 同一数字证书可以用于多个电子邮件地址吗?
不行。签发数字证书时,需要确定其公钥与某个对应的电子邮件地址绑定,因此,不同的电子邮件地址须使用不同的数字证书。
如何备份数字证书?
第一步:打开IE窗口,选择"工具"--"internet选项",选择"内容",点击"证书"
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第二步:选择您需要备份的证书,点击"导出"
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第三步:进入证书导出界面,点击下一步
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第四步:如果您是想要保存自己的私钥信息,请选择导出私钥
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第五步:选择导出文件的格式
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第六步:设置私钥保护密码,谨慎保护此密码,只用拥有此密码才可以使用导出的私钥文件
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第七步:指定导出文件的存放路径,点击下一步。建议将私钥备份到可移动的存储设备中,如:软盘等
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
第八步:点击"完成"。
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" border=0>
为什么证书服务不能退?
证书服务作为一种定制化的服务,它相当于网络中运用的身份证
1) CA中心签发证书前要对申请人进行严格的审核鉴证,相当于进行定制化的服务,好比根据客户要求定制了一件产品,这是专属于用户本身的,如果废止这一定制过程已经发生,其中发生的成本需要有效分解。
2) CA中心在签发证书的同时,也承担了证书使用者违规使用证书带来的法律上风险,而且用户即便吊销证书,CA中心也必须将此证书备案管理,这些都构成了CA中心的运营成本。
3658
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
