ca證書原理
1. 網上安全認證機構(CA)的認證原理
一、電子認證的概念
--電子簽名只是從技術手段上對簽名人身份做出辯認及能對簽署文件的發件人與發出電子文件所屬關系做出確認的方式。但如何解決上文提到判定公共密鑰的確定性以及私人密鑰持有者否認簽發文件的可能性等問題,則是電子簽名技術本身無法解決的問題。換言之,這裡面有一個解決私人密鑰持有人信用度的問題。這裡麵包括兩種可能性。一是密鑰持有人主觀惡意,即有意識否認自己做出的行為;二是客觀原因,即發生密鑰丟失、被竊或被解密情況,使發件人或收件人很難解釋歸責問題。事實上,相類似的問題在我們傳統商業交易活動中也存在,只不過我們有一套相對完整的解決方案罷了。當然這里包括相配套的法律規范及保護措施。在傳統的簽字(蓋章)使用中,為了防止簽字(蓋章)方提供偽造虛假或被篡改的簽字(蓋章)或者防止發送人以各種理由否認該簽字(蓋章)為其本人所為,一些國家或地區採取通過具有權威性公信力的授權機關對某印章提前做出備案,並可提供驗證證明的方式,防止抵賴或偽造等情形發生。例如,在我國台灣省,對一些重要法律文件(如房地產買賣交易文件),對印章真實性認證就採取下述方式處理:為保證蓋過章的文件的真實性,印章持有人在蓋章之前需把印章送到具有權威性的戶政事務所登記備案,並申請印鑒證明,之後再把印鑒證明同蓋過章的文件一並送給收件方,收件方將印鑒證明同原件相比較,如完全一致,就可確認文件及其印章的真實性了。ˉ在電子交易過程,同樣需要一個具有權威性公信力的第三者作為安全認證機關(Certificate Authority)對公開密鑰行使辨別及認證等管理職能,以防止發件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險。由此可見,電子簽名的安全使用必須配合安全認證機關體系的建立。事實上,西方很多國家(美國、加拿大、德國等)以及日本都已經或正在建立相配套的公共密鑰基礎設施( public key infrastructure)。這樣,網路上電子簽名與CA認證的相互結合就解決了前面闡述的由於電子簽名技術方面無法解決的信用度的問題。
二、電子認證的程序
--電子認證的具體操作程序為:發件人在做電子簽名前,簽署者必須將他的公共密鑰送到一個經合法注冊,具有從事電子認證服務許可證的第三方,即CA認證中心,登記並由該認證中心簽發電子印鑒證明(Certificate)。爾後,發件人將電子簽名文件同電子印鑒證明一並發送給對方,收件方經由電子印鑒佐證及電子簽名的驗證,即可確信電子簽名文件的真實性和可信性。由此可見,在電子文件環境中,CA認證中心扮演的角色與上述傳統書面文件簽字(蓋章)環境中的第三者(戶政事務所)的角色有異曲同工之妙。CA認證中心正起到一個行使具有權威性公證的第三人的作用。而經CA認證機關頒發的電子印鑒證明就是證明兩者之間的對應關系的一個電子資料,該資料指明及確認使用者名稱及其公共密鑰。使用者從公開地方取得證明後,只要查驗證明書內容確實是由CA機關所發,即可推斷證明書內的公開密鑰確實為該證明書內相對應的使用者本人所擁有。如此,該公共密鑰持有人無法否認與之相對應的該密鑰為他所有,進而亦無法否認經該密鑰所驗證通過的電子簽名不為他所簽署。 電子認證的目的
--電子認證的目的就是通過CA機關對公共密鑰進行辨別和認證(包括跨國認證)以防止或減少因密鑰的丟失、損毀或解密等原因造成電子文件環境交易的不確定因素及不安全性風險。同時,認證證明書還能佐證密鑰申請人的資信狀況。 電子認證的機構
--1. 電子認證機構設立的形式。
--縱觀一些國家在電子認證(CA)設定的形式一般有兩大類。第一類是直接由國家有關負責部門下屬單位直接設立,從事電子認證服務工作。或者是由政府的相關部門扮演CA體系中最高一層的認證中心角色。第二大類是由政府相關部門做出授權,規定嚴格的審批條件和程序簽發認證證書(Certificate),同時行使監督權,以確保網路交易的安全性。無論是哪種形式,政府扮演的角色是至關重要的。其原因有以下幾點:
--1)權威性。
--只有經國家主管部門授權經營的電子認證服務公司或由主管部門批發經營許可證的CA認證機關簽發的電子認證證書最有權威性。在一定意義上,這正如只有經公安部門發出的個人身份證具有絕對可靠的權威性一樣。
--同時,由於電子認證在網路中的應用具有跨越國界的特性,只有國家主管部門以國家名義出面介入,從而使得電子認證的效力的可靠性具有為他國承認的後果。
--2)標准化。
--政府主管部門可規定法律統一的技術方案以及規范不同級別的CA機關的電子認證標准及程序。同時,政府主管機關可擔當最高一級的公共密鑰認證中心的角色。這是美國各州及聯邦政府以及德國等國公共密鑰基礎建設體系都普遍採用的一種形式。
--3)可執行性
--由於政府主管機關在CA認證中扮演國家的角色,因此在體系的建立,標準的設定,以及兼容跨國認證等方面具有絕對權威性及統一性的特點。因此,在實施電子認證服務過程中,其可操作性及可執行性的特點是顯而易見的。這就避免可能由於不同標准(技術及服務兩方面)的出現,從而使得電子認證變得無法實施,達不到消除網上交易缺乏安全性的顧慮的目的。
--2. 電子認證機關(CA)設立的條件
--CA機構申請從事電子認證服務牌照時,需滿足一定的審批條件。政府主管部門在審核及批發許可證時,除要審查申請人的硬體措施(如辦公場所的選定)、軟體條件(如公司中人員的技術專業知識),還要審查主體資格,承擔損害賠償的能力等多個方面。下面簡單介紹一下美國猶他州電子簽名法規定CA提供電子認證服務的條件。
--(1) 主體資格:可為執業律師;在猶他州注冊登記的信託機機能或保險機構;猶他州州長、州法院、市、郡等已經依法律或行政命令指定執行CA認證業務的公務人員並為該機構員工進行認證之組織;任何在猶他州取得營業許可的公司;
--(2) 程序:CA本身必須申請公開金鑰憑證且須存放在主管機關設置或承認的公開金鑰憑證資料庫中以供大眾檢視讀取;
--(3) 公證資格:須有公證人(a notary public)資格或至少聘僱一具有公證人資格之員工;
--(4) 從業人員不得有嚴重犯罪前科:所僱用的員工中不得有重大犯罪之前科或是犯有其他詐欺、虛偽陳述或欺騙之罪行;
--(5) 專業知識:所僱用員工必須具有執行認證業務之專業知識;
--(6) 經營擔保:除了政府官員或機關申請經營CA業務外,其他申請者必須提供營業擔保;
--(7) 軟硬體設施:對於經營CA業務所需軟硬體設施,必須對該設施擁有具有合法的權利;
--(8) 營業場所:必須在猶他州設有營業處所或是指定代理人代為執行業務;
--(9) 必須遵守主管機構的所有其他規定。
三、電子認證的效力
-- 電子認證的效力一般通過兩種途徑得到保障。第一種也是最直接的是通過立法的形式加以確認。這主要是通過法律授權政府機關主管部門制定相應規則,從而最終達到保障電子認證的效力具有法律上的依據與保障。美國很多州都是採取此種方式。這主要是表現在以下幾個方面:
--1、 以直接的立法形式明示直接承認可被接受的技術方案標准;(如美國猶他州;香港特別行政區法例等。)
--2、 授權政府主管部門制定相應規則如享有頒發、或吊銷CA機構從事電子認證業務許可的權力,同時對違規/違法經營操作的CA機構具有行政處罰權;
--3、 制定明確的設立及管理CA機構的條件及程序。同時,在監管CA機構層面上,政府主管部門還設置所有合法登記、注冊經營電子認證業務的CA機構的資料庫供客戶查詢。如美國猶他州法律規定,主管機構在其設置的公共密鑰憑證資料庫中,專門開辟一個存有所有登記注冊CA機構詳盡檔案資料庫。其中除了一般公司信息(如公司名稱、住址及電話及被授權的營業范圍)外,還包括目前使用的核發認證憑證的機構有無違規經營遭到處罰的記錄等等信息。
2. 什麼是CA證書
CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。
3. 數字證書的基本原理是什麼
egates問的是數字證書,而非數字簽名,這兩者經常相關聯,但不是一個概念。
數字證書是數字形式的標識,與護照或駕駛員執照十分相似。數字證書是數字憑據,它提供有關實體標識的信息以及其他支持信息。數字證書是由成為證書頒發機構(CA)的權威機構頒發的。由於數字證書有證書權威機構頒發,因此由該權威機構擔保證書信息的有效性。此外,數字證書只在特定的時間段內有效。
數字證書包含證書中所標識的實體的公鑰(就是說你的證書里有你的公鑰),由於證書將公鑰與特定的個人匹配,並且該證書的真實性由頒發機構保證(就是說可以讓大家相信你的證書是真的),因此,數字證書為如何找到用戶的公鑰並知道它是否有效這一問題提供了解決方案。
至於這個公鑰有何用則屬於另一個主題:公鑰加密。也解釋一下吧。
公鑰加密屬於「非對稱密鑰」加密,為了解釋得更清楚,先說下「對稱密鑰」加密。
舉個例子,如果發件人希望加密郵件,那麼發件人需要知道純文本中的字母 A 的每個實例都將被密鑰更改為密碼中的字母 D;純文本中的字母 B 的每個實例都將更改為密碼中的字母 E,依此類推。使用此密鑰(採用「將字母前移三位」的演算法),純文本中的單詞「help」將加密為「khos」密碼。
當收件人收到密碼郵件時,需要將它重新轉換為純文本,方法是使用密鑰來解密信息,在本例中即是將字母後移三位,從而撤消更改。
在本例中,發件人和收件人必須將密鑰保存在隱秘的地方,因為任何知道密鑰的人都可以使用它來解密並閱讀郵件。密鑰丟失會使得加密變得毫無價值。此外,演算法的強度也很重要。未經授權的一方可以獲取加密後的密碼,並通過根據密碼來確定密鑰的方法,設法破解加密。
請注意,發件人和收件人使用的是相同的密鑰。此類加密稱為「對稱密鑰」加密,因為雙方使用相同的密鑰。
注意這個示例中,演算法強度相當小。
我們所說的「公鑰加密」是使用兩個密鑰,而不是使用一個共享的密鑰。一個密鑰(稱為「私鑰」)是保密的。它只能由一方保存,而不能各方共享。第二個密鑰(稱為「公鑰」)不是保密的,可以廣泛共享。這兩個密鑰(稱為「密鑰對」)在加密和解密操作中配合使用。密鑰對具有特殊的互補關系,從而使每個密鑰都只能與密鑰對中的另一個密鑰配合使用。這一關系將密鑰對中的密鑰彼此唯一地聯系在一起:公鑰與其對應的私鑰組成一對,並且與其他任何密鑰都不關聯。
由於公鑰和私鑰的演算法之間存在特殊的數學關系,從而使得這種配對成為可能。密鑰對在數學上彼此相關,例如,配合使用密鑰對可以實現兩次使用對稱密鑰的效果。密鑰必須配合使用:不能使用每個單獨的密鑰來撤消它自己的操作。這意味著每個單獨密鑰的操作都是單向操作:不能使用一個密鑰來撤消它的操作。此外,設計兩個密鑰使用的演算法時,特意設計無法使用一個密鑰確定密鑰對中的另一個密鑰。因此,不能根據公鑰確定出私鑰。但是,使得密鑰對成為可能的數學原理也使得密鑰對具有對稱密鑰所不具有的一個缺點。這就是,所使用的演算法必須足夠強大,才能使人們無法通過強行嘗試,使用已知的公鑰來解密通過它加密的信息。公鑰利用數學復雜性以及它的單向特性來彌補它是眾所周知的這樣一個事實,以防止人們成功地破解使用它編碼的信息。
如果將此概念應用於前面的示例,則發件人將使用公鑰將純文本加密成密碼。然後,收件人將使用私鑰將密碼重新解密成純文本。
由於密鑰對中的私鑰和公鑰之間所存在的特殊關系,因此一個人可以在與許多人交往時使用相同的密鑰對,而不必與每個人分別使用不同的密鑰。只要私鑰是保密的,就可以隨意分發公鑰,並讓人們放心地使用它。使許多人使用同一個密鑰對代表著密碼學上的一個重大突破,因為它顯著降低了密鑰管理的需求,大大提高了密碼學的可用性。用戶可以與任意數目的人員共享一個密鑰對,而不必為每個人單獨設立一個密鑰。
(等待3點的球賽,無聊中)
4. 數字證書的工作原理
數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰),在計算上是不可能的。按當下計算機技術水平,要破解1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密,安全地傳送給商戶,然後由商戶用自己的私有密鑰進行解密。
用戶也可以採用自己的私鑰對信息加以處理,由於密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點:
保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認。
保證信息自簽發後到收到為止未曾作過任何修改,簽發的文件是真實文件。
5. PDF證書的運作原理是什麼
目前,PDF 文檔的使用愈來愈廣泛,已成為重要的文檔轉換格式之一。而通過互聯網發布的 PDF 文檔亦有風雨欲來之勢,但隨之而來的安全問題也漸已浮出水面。那麼如何防止網路傳輸中的 PDF 文檔內容被未授權的人所窺視呢?
PDF證書可以解決這一問題。使用 PDF證書可以進行身份簽名或確認簽名,簽名後的文檔可以向用戶證實 PDF 文檔簽署人的真實身份,簽署人的真實身份是通過權威的第三方進行審核並確認,這樣便保護了 PDF 文檔在傳輸的過程中沒有被非法篡改,從而使得簽名後的 PDF 文檔可以安全可靠的用於企業之間電子文檔交換和電子合同簽署。
關於數字簽名
「數字簽名」類似於傳統的手寫簽名,表示某人已在文檔上簽名。文檔作者可以通過添加驗證簽名,證明他們文檔的內容。數字簽名要驗證作者的身份還包含一些個人信息。與手寫簽名不同,數字簽名難以偽造是因為其包含作者唯一的加密信息並容易驗證。
使用數字證書簽名 PDF 文檔
若要簽名文檔,作者必須要獲得數字證書。數字證書就像身份證、駕照或護照一樣,它為與作者進行電子聯絡的人或機構提供身份驗證。數字證書中通常包含作者的姓名和電子郵件地址、頒發數字證書公司的名稱、序列號和有效期。數字證書包括兩類鑰匙:公鑰(加密或驗證簽名)和私鑰(解密或簽名)。當簽名 PDF 文檔時,作者使用私鑰應用數字簽名。作者可以分發包含公鑰和其它識別信息的「證書」給需要驗證作者的簽名、身份或為作者加密信息的人。僅作者的私鑰可以解除鎖定使用作者的證書加密的信息,因此請確保在安全的地方存儲數字證書。作者需要數字證書才能簽名、驗證和應用證書加密至 PDF 文檔。可以從第三方簽名提供商(比如 GlobalSign)獲取數字證書,也可以創建自簽名數字證書。在大多數商業交易中要證明作者的身份,可能需要來自信任的第三方提供商(稱為「證書頒發機構」,比如 GlobalSign)的數字證書。因為證書頒發機構有責任為其他人驗證作者的身份,請選擇被大多數在網際網路上進行經營的公司所信任的一家機構。作者可以有多個用於不同目的的數字證書,例如,作者需要用不同的角色或驗證方法簽名文檔。數字證書通常受口令保護並以 PKCS#12 文件格式儲存在計算機上、智能卡上、硬體令牌設備上、在 Windows 證書存儲區中或在簽名伺服器上(用於漫遊證書)。
GlobalSign PDF證書的特點與優勢
• 啟用 PDF 安全 - 保證重要文檔的真實性、完整性和有效性,包括文件的完整性、著作權以及時間戳。
• 無須安裝插件或軟體 - 被 Adobe Acrobat 和 Adobe Reader 默認所信任,不需要安裝任何插件或第三方軟體。
• 基於網路或伺服器應用 - 基於網路和伺服器的文檔身份簽名和確認簽名解決方案符合所有企業的需求。
• RFC 361 標准 - 符合 RFC 361 標準的權威可依賴且不可抵賴的時間戳服務。
• 簽名認證 - 使用 PDF證書可以進行:證實簽名,證實簽名人的真實身份。
• 審批簽字 - 使用 PDF證書可以進行:確認簽名,工作流程電子文檔或電子合同的簽署。
• 支持多語言版本 - 支持多國語言版本,通行全球。
• WebTrust 專業認證 - 通過 WebTrust 認證的 CA 證書核發公司 GlobalSign 的全方位數字證書技術支持。
GlobalSign 目前提供兩種類型的 PDF證書,分別為 Adobe PDF 個人文檔簽名證書和 Adobe PDF 企業部門文檔簽名證書。
Adobe PDF 個人文檔簽名證書為企業員工個人設計的基於應用系統 PDF 文檔證實簽名和確認簽名的解決方案,作者可以使用 Adobe Acrobat 軟體和存放在 SafeNet FIPS 140-1 第二級 USB Key 中的數字證書對 PDF 文檔進行簽名。
Adobe PDF 企業部門文檔簽名證書為企業部門設計的基於應用系統 PDF 文檔證實簽名和確認簽名的解決方案,作者可以使用 Adobe Acrobat 軟體和存放在 SafeNet FIPS 140-1 第二級 USB Key 中的數字證書對 PDF 文檔進行簽名。
此外 GlobalSign 數字證書服務提供了包含:域名型 SSL 證書 (DVSSL) 、 企業型 SSL 證書 (OVSSL) 、 增強型 SSL 證書 (EVSSL) 、通配符 SSL 證書 、 SANs SSL 證書等服務。
6. 數字證書的工作原理是什麼
數字證書認證中心(Certficate Authority,CA)就是一個負責發放和管理數字證書的權威機構。對於一個大型的應用環境,認證中心往往採用一種多層次的分級結構,各級的認證中心類似於各級行政機關,上級認證中心負責簽發和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。
數字安全證書利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰),在計算上是不可能的。按現在的計算機技術水平,要破解目前採用的1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密,安全地傳送以商戶,然後由商戶用自己的私有密鑰進行解密。
用戶也可以採用自己的私鑰對信息加以處理,由於密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點:
(1) 保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認;
(2) 保證信息自簽發後到收到為止未曾作過任何修改,簽發的文件是真實文件。
7. 數字證書的原理和作用,急!
有關數字證書及原理的知識1、數字證書(CA證書)簡介
數字證書與公鑰密碼體制緊密相關。在公鑰密碼體制中,每個實體都有一對互相匹配的密鑰:公開密鑰(Pubic Key公鑰)和私有密鑰(Private Key私鑰)。公開密鑰為一組用戶所共享,用於加密或驗證簽名,私有密鑰僅為證書擁有者本人所知,用於解密或簽名。當發送一份秘密文件時,發送方使用接收方的公鑰對該文件加密,而接收方則使用自己的私鑰解密。因為接收方的私鑰僅為本人所有,其他人無法解密該文件,所以能保證文件安全到達目的地。一份經過簽名的文件如有改動,就會導致數字簽名的驗證過程失敗,這樣就保證了文件的完整性。因此以數字證書為核心的加密傳輸、數字簽名、數字信封等安全技術,使得在Internet上可以實現數據的真實性、完整性、保密性及交易的不可抵賴性。
2、數字證書的作用
1、身份認證數字證書中包括的主要內容有:證書擁有者的個人信息、證書擁有者的公鑰、公鑰的有效期、頒發數字證書的CA、CA的數字簽名等。所以網上雙方經過相互驗證數字證書後,不用再擔心對方身份的真偽,可以放心地與對方進行交流或授予相應的資源訪問許可權。2、加密傳輸信息無論是文件、批文,還是合同、票據,協議、標書等,都可以經過加密後在Internet上傳輸。發送方用接收方的公鑰對報文進行加密,接收方用只有自己才有的私鑰進行解密,得到報文明文。3、數字簽名抗否認在現實生活中用公章、簽名等來實現的抗否認在網上可以藉助數字證書的數字簽名來實現。數字簽名不是書面簽名的數字圖象,而是在私有密鑰控制下對報文本身進行密碼變化形成的。數字簽名能實現報文的防偽造和防抵賴。
3、數字證書應用
1、網上辦公網上辦公的主要內容包括:文件的傳送、信息的交互、公告的發布、通知的傳達、工作流控制、員工培訓以及財務人事等其他方面的管理。數字證書的使用可以完美地解決安全傳輸、身份識別和許可權管理這些問題,使網上辦公順暢實現。2、網上政務隨著網上政務各類應用的增多,原來必須指定人員到政府各部門窗口辦理的手續都可以在網上實現。如:網上注冊申請、申報、注冊、網上納稅、網上審批、指派任務等。數字證書可以保證網上政務應用中身份識別和文檔安全傳輸的實現。3、網上交易網上交易主要包括網上談判、網上采購、網上銷售、網上支付等方面。網上交易極大地提高了交易效率,降低了成本。而數字證書可以解決網上身份無法識別、網上信用難以保證等難題的困擾。
8. ssl證書的工作原理
SSL證書的工作原理:
客戶端向伺服器請求HTTPS連接
客戶端向伺服器傳送客戶端SSL協議的版本號,加密演算法的種類,產生的隨機數,以及其他伺服器和客戶端之間通訊所需要的各種信息。
伺服器確認並返回證書
伺服器向客戶端傳送SSL 協議的版本號,加密演算法的種類,隨機數以及其他相關信息,同時伺服器還將向客戶端傳送自己的證書。
客戶端驗證伺服器發來的證書
客戶端利用伺服器傳過來的信息驗證伺服器的合法性,伺服器的合法性包括:證書是否過期,發行伺服器證書的CA 是否可靠,發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」,伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過,通訊將斷開;如果驗證通過,將繼續進行。
信息驗證通過,客戶端生成隨機密鑰A,用公鑰加密後發給伺服器
從第③步驗證過的證書裡面可以拿到伺服器的公鑰,客戶端生成的隨機密鑰就使用這個公鑰來加密,加密之後,只有擁有該伺服器(持有私鑰)才能解密出來,保證安全。
伺服器用私鑰解密出隨機密鑰A,以後通信就用這個隨機密鑰A來對通信進行加密
這個握手過程並沒有將驗證客戶端身份的邏輯加進去。因為在大多數的情況下,HTTPS只是驗證伺服器的身份而已。如果要驗證客戶端的身份,需要客戶端擁有證書,在握手時發送證書,而這個證書是需要成本的。
9. 什麼是數字證書CA,他是干什麼用的
數字證書CA是指在互聯網通訊中標志通訊各方身份信息的一個數字認證,人們可以在網上用它來識別對方的身份。
因此數字證書又稱為數字標識。數字證書對網路用戶在計算機網路交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。
數字證書從本質上來說是一種電子文檔,是由電子商務認證中心(簡稱為CA中心)所頒發的一種較為權威與公正的證書,對電子商務活動有重要影響,例如我們在各種電子商務平台進行購物消費時,必須要在電腦上安裝數字證書來確保資金的安全性。
(9)ca證書原理擴展閱讀
證書原理
數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分,另一部分是私鑰。
公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,發送者要用收件人的公鑰加密信件;
收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,發送者要用自己的私鑰對信件進行簽名;收件人可使用發送者的公鑰對簽名進行驗證,以確認發送者的身份。
在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現,電子郵件、在線交易和信用卡購物的安全才能得到保證。
10. ca證書和伺服器證書區別
一般的CA證書,可以直接抄在WINDOWS上生成。通過點對點原理,實現數據的傳輸加密和身份核實功能。CA伺服器證書,是必須安裝在伺服器中,由伺服器的軟硬體信息生成的CSR文件,通過在微軟和全球webTrust證書聯盟的備份和核實後,生成的CA證書。網站能在IE瀏覽器上直接顯示「安全鎖」,和顯示證書信息。高級的版本能在瀏覽器地址欄變綠色,是目前全球最有效果的身份核實、信息加密工具。 CA證書的生成簡單免費,而CA伺服器證書成本較高,一般在5000-20000元/年,所以需要此服務的企業或機構以金融類行業為首。如果企業需要CA伺服器證書來杜絕釣魚網站的侵害,可以選擇安信保認證標識,它集成了伺服器證書服務。是目前看到最便宜的了,比較適合企業使用。