« 上一篇下一篇 »

简要介绍一下CA

原文地址:http://blog.csdn.net/thq0201/article/details/6767959   (原文作者写的真好)


1.什么是CA 

 CA是certification authorit的缩写,即证书颂发机构,他是一个负责发放和维护证书的实体,一般是第三方的。 

2.什么是证书 

 证书就是数字化的文件,里面有一个实体(网站,个人等)的公共密钥和其他的属性,如名称、CA信息、加密算法等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。

3.什么是密钥 

 密钥是加密算法用于加密和解密的种子,通过特定的算法对数据进行处理。 

4.加密算法都有哪些 

 加密算法主要分为对称加密和非对称加密。 

 对称加密是指双方拥有相同的密钥,用这个密钥加密的也可以用这个密钥解密。常见的有DES,DES3,RC4等 

 非对称加密是指双方使用不同的密钥,分为公钥和私钥,公钥是发给别人,用于加密的,私钥是留给自己用于把别人加密的东西解密的。公钥和私钥是严格成对的。常见的算法有RSA,DSA,DH等

 除了这些加密算法一般还会提到叫散列算法的东东,这些算法不是用来加密的,而是把数据转换成一些特定长度的较验数据,用来检验原数据是否被篡改的。常见的有MD5,SHA,Base64,CRC等。

5.证书的作用 

 证书主要有两个作用,一个是加密通信,一个是数字签名。 

 加密通信是保证数据不被别人截获并且不被知道通信内容的,主要是两个层次,一个是通信双方身份确认,避免对方是冒充的,另一个是数据通过公钥加密传输和使用私钥解密。这方面常见的具体应用就是SSL和HTTPS,比如说WebSphere的管理员登陆和一些重要的登陆操作。

 数字签名是用于识别签名者身份的,这个从字面就可以理解。你使用你的私钥进行签名,然后用户看到你的签名后用公钥检查,发现的确是你的数字签名,就可以了。这个常见的应用有代码发行商签名,就是签名控件的那种,邮件数字签名,电子公章等。

6.证书的格式 

 现在常用的证书都是采用X.509结构的,这个是一个国际标准。具体的证书包装格式有PKCS#7,PKCS#10,PKCS#12,CER等等,其中PKCS#12是把公钥和私钥放在一起的,便于证书拥有者使用。

7.CA体系的结构 

 CA的组织结构跟域名有些相似,有一个根CA,然后它派生了一些子的,子又生孙,孙又生子,子子孙孙无穷匮也。但是给人家当孙子的滋味是不好受的,要交年费的,而且一个证书一年上万块。于是乎,你可以自己当老大,就是自己当根,然后再发放证书,有一个缺陷是要取得别人的认可才行。自己做根CA要有一个根证书,然后自己给自己签名,就行了。然后再用这个根证书和根私钥给你的子机构签发证书就可以了。用户使用你签名的证书之前必须要把你的根证书给用户,让用户安装在受信任的根区域就算认可了。

8.CA中心的功能 

 一个CA中心主要是做以下的工作: 

 1)接受证书申请,验证申请人身份,签发证书,向用户提供证书的下载 

 2)吊销证书,发布黑名单,发布吊销列表(CRL,certificate revocation list) 

9.CA中心的物理架构 

 1)CA服务器,用于接收证书申请、证书生成、证书作废、证书恢复等操作 

 2)数据库服务器,用于记录用户信息,证书信息,黑名单信息,操作日志等 

3)目录服务器,存放发出的证书和CRL列表,提供证书下载和发布CRL 

 4)操作终端,证书申请、作废、查询、统计、设置等操作 

 5)硬件加密机/卡,保存CA的根私钥,用于对证书进行签名 

10.什么是PKI 

 PKI就是公钥基础设施,即PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。 

11.证书的具体用途 

 签发一个证书的时候要提供具体用途的,比如说:邮件签名,软件开发商签名,IPSec加密,服务器通信加密等,如果越出指定范围的用途都是不受信任的。 

12.CA中心的法律责任 

 CA中心对申请人通过其签发的数字证书对第三方产生的侵害负连带责任。

CA机构颁发的证书中包含申请机构的公钥信息,用户在与该机构进行通信时可以通过CA机构的公钥验证,并用验证后的该机构的公钥进行加密通信(不用担心通信时提供者是假冒的,因为即使是假冒的因为他没有私钥,信息也无法解密)。