ca證書

ca證書

CA是證書的簽發機構,它是公鑰基礎設施(Public Key Infrastructure,PKI)的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。

CA 也擁有一個證書(內含公鑰和私鑰)。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。

如果用戶想得到一份屬於自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份后,便為他分配一個公鑰,並且 CA 將該公鑰與申請者的身份信息綁在一起,並為之簽字后,便形成證書發給申請者。

如果一個用戶想鑒別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。證書實際是由證書籤證機關(CA)簽發的對用戶的公鑰的認證。

證書的內容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。證書的格式和驗證方法普遍遵循X.509 國際標準。

2019年9月2日,據新疆生產建設兵團自然資源局消息稱:自然資源部新近為新疆兵團本級及13個師市頒發礦業權管理CA證書。

加密


我們將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。即把我們平時看到的“http”加密成“https”來傳輸,這樣保證了信息在傳輸的過程中不被竊聽。

解密


我們將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如何在電子文檔上實現簽名的目的呢?我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名,

方法

信息發送者用其私鑰對從所傳報文中提取出的特徵數據(或稱數字指紋)進行RSA演演算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也確保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文後,就可以用發送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數) 生成的。

流程

CA證書驗證流程
CA證書驗證流程
1.接受的輸入報文數據沒有長度限制;
2.對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
3.從報文能方便地算出摘要;
4.難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
5.難以生成兩個不同的報文具有相同的摘要。
驗證:
收方在收到信息後用如下的步驟驗證簽名:
1.使用自己的私鑰將信息轉為明文;
2.使用發信方的公鑰從數字簽名部分得到原摘要;
3.收方對您所發送的源信息進行hash運算,也產生一個摘要;
4.收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。
如果兩摘要內容不符,會說明什麼原因呢?
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者發送的信息,信息在傳輸過程中已經遭到破壞或篡改。

數字證書


數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。

安裝方式


在很多情況下,安裝CA證書並不是必要的。大多數操作系統的CA證書是默認安裝的。這些默認的CA證書由GoDaddy或VeriSign等知名的商業證書頒發機構頒發。因此,如果設備需要信任不知名的或本土的證書頒發機構,只需要安裝CA證書。
下載和安裝CA證書並沒有真正的標準流程。採用的方法依賴於許多因素,如正在使用的伺服器類型可作為一個證書頒發機構,證書頒發機構的配置方式以及設備上所使用的想安裝CA證書的操作系統。
如果Windows伺服器被配置為一台證書頒發機構,通常情況下,管理員可通過一個Web界面生成並下載證書。這個Web界面的地址通常是https:///CertSRV。該Web界面中有下載CA證書的選項。
如果一台Windows PC上安裝了CA證書,該證書是由證書控制台進行安裝的。在Windows 8個人電腦上,可以通過本地的運行功能進入CertLM.msc,從而訪問證書商店。CA證書通常安裝在第三方根認證機構容器中的受信任的根證書頒發機構中。
通常,如果想在移動設備上安裝一個CA證書,可以將證書通過電子郵件發送到該移動設備上的郵箱賬號。打開附件,證書將被安裝到該設備上。
當然,還有一些特殊的證書,例如:網上報稅使用的聯通ca證書,就需要你手動安裝導入到你的報稅系統中,它是無法自動安裝導入的。

證書原理


數字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分,另一部分是私鑰。公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,發送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,發送者要用自己的私鑰對信件進行簽名;收件人可使用發送者的公鑰對簽名進行驗證,以確認發送者的身份。
在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現,電子郵件、在線交易和信用卡購物的安全才能得到保證。

證書作用


保密性 - 只有收件人才能閱讀信息。
認證性 - 確認信息發送者的身份。
完整性 - 信息在傳遞過程中不會被篡改。
不可抵賴性 - 發送者不能否認已發送的信息。
保證請求者與服務者的數據交換的安全性