数字证书介绍与作用

数字证书的介绍

数字证书也是身份鉴别的其中一种方式。数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
首先，把个人信息和公钥提交到某权威机构的证书中心，然后这个中心用自己的私钥将提交过来的信息加密而形成数字证书。这个权威机构包括以下几个组成部分：

1.PKI 是共要基础设施（Public Key Infrastructure）的简称，PKL 利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密丶数字签名丶数字证书来保护应用丶通信或事务处理的安全

2.CA：是PKL的核心，主要职责为签发证书丶更新证书丶管理证书（撤销丶查询丶审计丶统计）丶验证数字证书丶黑名单认证（CRL）丶在线认证（OCSP）

3.RA：受理用户的数字证书申请（对证书申请者身份进行审核并提交CA 制证）丶提供证书生命期的维护工作（受理用户证书申请丶协助颁发用户证书丶审核用户真实身份丶受理证书更新请求丶受理证书吊销）

4.证书库：证书存放管理，信息的存储库，提供了证书的保存，修改，删除和获取的能力；
COL(Certificate Revocation List):证书撤销列表，也称“证书黑名单”，存放被撤销证书的序列号，证书有效期期间因为某种原因（人员调动丶私钥泄露等）导致证书不在真实可信，因此需要进行证书撤销

数字证书的申请过程

列如：Alice 和 Susam 通讯，Susam 需要对 Alice 进行身份认证，并确保自己拿到的是 Alice 的公钥。这样就需要 Alice 申请数字证书：

• Alice F发送注册信息给 RA
• RA 审查通过后发送给 CA
• CA 将 Alice 个人信息丶Alice 公钥可能还会包括 Alice 的数字签名打包成数字证书
• CA 将签发的数字证书下载凭证
• CA 将下载凭证给 RA
• CA 将数字证书交给证书库保存
• RA 将下载凭证交回给 Alice
• Alice 向 CA 提交下载证书申请和凭证
• Alice 从 CA 下载证书
• Alice 向 Susam 发送自己的证书
• Susam 验证证书

数字证书验证，首先会有浏览器使用已经存储在浏览器中的 Root CA 的公钥来验证中间证书的数字签名，如果该证书的签发机构能够在可信任签发机构中找到，则为可信任证书
如果查询不到，则从授权信息访问信息段中获得该签发机构的数字证书，并判断该授权机构的数字证书的签发机构是否能够在可信任签发机构中找到，如果找到则该授权机构是可信的，并从授权机构的数字证书中获得授权机构的公钥，如果不在则重复这一步骤。如果最终都没有找到可信机构，则为不可信证书。