- 什么是数字证书
- 证书的结构
- CA中心
- 数字证书的签发
- 数字证书的格式
什么是数字证书
数字证书,类似于日常生活中使用的身份证,用于标识网络中计算机的身份。
数字证书可以说是多种密码算法的集大成者:
- 自身带有公钥信息,可完成加密解密操作;
- 带有数字签名,可鉴别消息来源;
- 具有消息摘要算法,可验证证书的完整性;
- 本身含有用户身份信息,因而具有认证性。
证书结构
一般来讲证书由三部分构成:用户公钥、用户信息、CA中心对该证书的签名。当然还有其他信息,这里只是简单列出来一些,了解具体情况可以查看百度百科。
如果需要验证证书的真伪,就需要下载CA中心的证书进行验证,然后如果需要验证CA中心的证书有需要签发该证书的证书,这样就形成了一条证书链,这条链的终点就是根证书。
在密码学和计算机安全领域中,根证书是未被签名的公钥证书或自签名的证书。
根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。百度百科
CA中心
我们的身份证是由公安机关签发的,所以才能具备权威性;那么我们的数字证书要想达到类似的效果,当然也需要权威的认证机构,在证书世界中类似公安机关的机构叫做数字证书颁发认证机构(Certificate Authority,简称CA)。
国际上有三大权威认证机构,其中VeriSign是应用最广的。
当然,使用上边的这三家认证机构颁发的数字证书是要收取申请和维护费用的,并且费用还不低参考网站(这不是广告)。当然对于我们来讲可以使用免费的CA:CAcert。
当然既然数字证书如此重要,我们国家当然也有自己的CA机构。
比如非区域性
- 中国人民银行联合12家银行建立的金融CFCA安全认证中心、
- 中国电信认证中心(CTCA)以及
- 海关认证中心(SCCA)、
- 国家外贸部EDI中心建立的国富安CA安全认证中心等。
区域性CA
- 广东电子商务认证中心(以后称广东CA)为首的“网证通”认证体系
- SHECA(上海CA)为首的UCA协卡认证体系
- 北京数字认证股份有限公司(原北京数字证书认证中心,简称“BJCA”)等
数字证书的签发
数字证书的格式
数字证书的格式遵循X.509标准,而证书一般有两种编码格式:
- DER二进制编码格式
- Base64编码格式
证书存储常见扩展名
- .cer .crt 存放的是公钥证书,没有私钥 编码格式可能是DER或Base64两种之一
- .p7b .p7c证书 PKCS#7标准 包含证书和CRL列表信息(证书吊销列表),没有私钥,一般存储证书链
- .pfx .p12 PKCS#12标准 含公钥和私钥等信息
cer与crt基本上是等价关系,不过cer常见于Windows平台,而crt常见于Unix或Linux平台。
公钥加密标准(Public Key Cryptography Standards, PKCS),RSA信息安全公司旗下的RSA实验室为了发扬公开密钥技术的使用,发展的一系列的公开密钥密码编译标准。百度百科