1、ca 数字证书认证中心知识一箩筐ca(数字证书认证中心)知识一箩筐!2010-05-3018:12一、什么是CA?CA(CertificateAuthority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(“证书申请者“拥有了证书后即成为“证书主体“)与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。数字
2、证书的作用是使网上交易的双方互相验证身份,保证电子商务的安全进行。CA大概分一下几种:行业性CA金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、中国海关CA、中国银行CA、中国工商银行CA、中国建设银行CA、招商银行CA、国家计委电子政务CA、南海自然人CA(NPCA)区域性CA协卡认证体系(上海CA、北京CA、天津CA)网证通体系(广东CA、海南CA、湖北CA、重庆CA)独立的CA认证中心山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙江邮政CA、黑龙江政府CA、山东CA、深圳CA、吉林省政府CA、福建泉州市商业银行网上银行CA、天威诚信CACA是证书的签发机构,它是PKI
3、的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为
4、是有效的。二、申请CA的流程1)申请者确定向某ca申请数字证书后,下载并安装该ca的“自签名证书“或更高级ca向该ca签发的数字证书,以验证ca身份的真实性。一个ca除了要具有权威机构授权外,还要能够让证书申请者验证自己;2)申请者的计算机随机产生一对签名公私密钥。主流的www浏览器,如ie、netscape等都具有此功能;3)签名私钥留下,公钥和申请者信息用ca的公钥加密,提交给ca;4)ca收到申请者的证书请求后,进行审核,同时向km发出密钥请求,并将申请者的签名公钥一同交给km;5)km从密钥池中取出一对加密密钥对,并将加密私钥用申请者的签名公钥加密后,一同交给ca;6)ca用自己的私钥
5、对申请者信息及签名和加密公钥进行数字签名,即得到所需要的证书。申请者从ca下载证书和经签名公钥加密过的加密私钥。数字证书一旦生成,其公钥直接由ca发布在dir中,便于用户查询和访问。数字证书的验证一般都是由浏览器自动完成的,验证过程与数字签名的验证过程基本相同。三、什么是PKI/CAPKI(PublicKeyInfrastructure)指的是公钥基础设施。CA(CertificateAuthority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA“。从总体构架来看,PKI/CA主要
6、由最终用户、认证中心和注册机构来组成。(1)、PKI/CA的工作原理PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。(2)、什么是数字证书?数字证书就像日常生活中的身份证、驾驶证,在您需要表明身份的时候,必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。(3)、什么是认证中心(CA)?一个认证中心是以它为信任源,由她维护一定范围的信任体系,在该信任体系中的所有用户、服务器,都被发放一张数字证书来证明其身份已经被鉴定过,并为其发放一张数字证书,每次在进行交易的时候,通过互相检查对
7、方的数字证书即可判别是否是本信任域中的可信体。(4)、什么是注册机构?注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。(5)、PKI/CA的作用?以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍地应用于全球范围的电子商务应用中,为电子商务保驾护航,为电子商务的健康开展扫清了障碍。
