CA(Certificate Authority)
前面提及的权威机构就是电子签证机关(即CA)。CA也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力(hyj:所谓的签字能力,就是说他能利用自己的私钥完成签字,那么怎样进行签字呢?是这样的客户在申请证书的时候,CA就把自己的公钥包含在客户的证书中一并给了客户,当客户与CA联系的时候,客户手中的CA的公钥就会试图解CA用自己的私钥加密的一段信息,如果解开了,说明这个信息是由CA发来的。因为不可能第二个人拥有CA的私钥。)。网上的公众用户通过验证CA的签字从而信任CA,任何人都应该可以得到CA的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后(hyj:这里CA为之签字,是用私钥加密了一段信息,目的为了让日后其他人能够用CA的公钥去验证解开这段信息,如果能解开就说明这个人是值得信任的人),便形成证书发给那个用户(申请者)。(hyj:可见usbkey中是个人的公钥,不是私钥。)
如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证(如前所述,CA签字实际上是经过CA私钥加密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一旦验证通过,该证书就被认为是有效的。
CA除了签发证书之外,它的另一个重要作用是证书和密钥的管理。
由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。CA相当于网上公安局,专门发放、验证身份证。