ca是證書的簽發機構,它是pki的核心。ca是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別使用者身份,並對使用者證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。。
ca 也擁有乙個證書(內含公鑰)和私鑰。網上的公眾使用者通過驗證 ca 的簽字從而信任 ca ,任何人都可以得到 ca 的證書(含公鑰),用以驗證它所簽發的證書。
如果使用者想得到乙份屬於自己的證書,他應先向 ca 提出申請。在 ca 判明申請者的身份後,便為他分配乙個公鑰,並且 ca 將該公鑰與申請者的身份資訊綁在一起,並為之簽字後,便形成證書發給申請者。
如果乙個使用者想鑑別另乙個證書的真偽,他就用 ca 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
證書
證書實際是由證書簽證機關(ca)簽發的對使用者的公鑰的認證。
證書的內容包括:電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循x.509 國際標準。
加密:
我們將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如何在電子文件上實現簽名的目的呢?我們可以使用數字簽名。rsa公鑰體制可實現對數字資訊的數字簽名,方法如下:
資訊傳送者用其私鑰對從所傳報文中提取出的特徵資料(或稱數字指紋)進行rsa演算法操作,以保證發信人無法抵賴曾發過該資訊(即不可抵賴性),同時也確保資訊報文在傳遞過程中未被篡改(即完整性)。當資訊接收者收到報文後,就可以用傳送者的公鑰對數字簽名進行驗證。
數字證書:
答: 數字證書為實現雙方安全通訊提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子資訊加密。數字證書中含有金鑰對(公鑰和私鑰)所有者的識別資訊,通過驗證識別資訊的真偽實現對證書持有者身份的認證。
使用數字證書能做什麼?
數字證書在使用者公鑰後附加了使用者資訊及ca的簽名。公鑰是金鑰對的一部分,另一部分是私鑰。公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的資訊只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,傳送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,傳送者要用自己的私鑰對信件進行簽名;收件人可使用傳送者的公鑰對簽名進行驗證,以確認傳送者的身份。
(2)客戶a對數字資訊進行雜湊(hash)運算,得到乙個資訊摘要。(準備摘要)
3)客戶a用自己的私鑰(sk)對資訊摘要進行加密得到客戶a的數字簽名,並將其附在數字資訊上。 (用私鑰對數字資訊進行數字簽名)
4)客戶a隨機產生乙個加密金鑰(des金鑰),並用此金鑰對要傳送的資訊進行加密,形成密文。 (生成密文)
5)客戶a用雙方共有的公鑰(pk)對剛才隨機產生的加密金鑰進行加密,將加密後的des金鑰連同密文一起傳送給乙。(用公鑰對des金鑰進行加密)
6)銀行b收到客戶a傳送過來的密文和加過密的des金鑰,先用自己的私鑰(sk)對加密的des金鑰進行解密,得到des金鑰。(用私鑰對des金鑰解密)
7)銀行b然後用des金鑰對收到的密文進行解密,得到明文的數字資訊,然後將des金鑰拋棄(即des金鑰作廢)。(解密文)
8)銀行b用雙方共有的公鑰(pk)對客戶a的數字簽名進行解密,得到資訊摘要。銀行b用相同的hash演算法對收到的明文再進行一次hash運算,得到乙個新的資訊摘要。
(用公鑰解密數字簽名)
9)銀行b將收到的資訊摘要和新產生的資訊摘要進行比較,如果一致,說明收到的資訊沒有被修改過。(對比資訊摘要和資訊)
了解CA認證
電子商務認證授權機構 ca,certificate authority 也稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。ca是證書的簽發機構,它是pki的核心。ca是負責簽發證書 認證證書 管理已頒發證書的機關。它...
自簽名CA認證
用openssl命令生成自己的根證書,讓使用者安裝信任它,之後所有用這個根證書簽名的證書,就可以被信任。建立檔案並配置環境 先建立 root ca資料夾,所有ca的操作都會在這個資料夾執行。root ca ca資料夾 root ca certs 新簽署證書和根證書存放的位置 root ca crl ...
瀏覽器CA認證流程
服務方 s 向第三方機構ca提交公鑰 組織資訊 個人資訊 網域名稱 等資訊並申請認證 ca 通過線上 線下等多種手段驗證申請者提供資訊的真實性,如組織是否存在 企業是否合法,是否擁有網域名稱的所有權等 如資訊審核通過,ca 會向申請者簽發認證檔案 證書。證書包含以下資訊 申請者公鑰 申請者的組織資訊...