一、概述
数字证书也是身份鉴别的一种方式。数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等进行加密或解密的形式,保证信息和数据的完整性和安全性。
二、原理
数字证书基于非对称加密(不了解的同学,可以去笔者的上一篇文章看看),即用两个密钥分别来进行加密和解密操作。用户A通过自己的私钥对信息进行加密,并将自己的公钥公布出去,他人通过用户A的公钥对加密信息进行解密,如果能解密成功,则可以证明,该信息是用户A发布的,从而达到确认用户A身份的目的。
三、权威机构
那么如何确认他人得到的确实是用户A的公钥呢,会不会有人冒充用户A发布公钥,并将信息通过自己的私钥加密,发布出去,以达到冒充用户A的可能呢?
这种可能是存在的,所以需要有一个权威的部门,来确认用户A发布出来的公钥,是用户A自己的,而不是他人冒名发布的。权威机构通过自己的私钥将用户A的公钥进行加密,其他用户在拿到信息时,先通过权威机构的公钥将密文进行解密,确认这份信息是权威机构发布的,是真实可信的,再通过其中的公钥,将信息进行解密,来确认该信息是否为用户A发送的。
这里给大家介绍关于数字证书的相关部门:
PKI:公钥基础设施的简称。PKI利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。
CA:CA是PKI的核心,主要职责为签发证书、更新证书、管理证书(撤销、查询、审计、统计)、验证数字证书、黑名单认证、在线认证等。
RA:受理用户的数字证书申请(对证书申请者身份进行审核并提交CA制证)、提供证书生命周期的维护工作(受理用户证书申请、协助颁发用户证书、审核用户真实身份、受理证书更新请求、受理证书吊销)
证书库:证书存放管理,信息的存储库,提供了证书的保存、修改、删除和获取的权力。其中,CRL指证书撤销列表,也称“证书黑名单”,存放被撤销证书的序列号,证书有效期期间因为某种原因(人员调动、私钥泄露等)导致证书不再真实可信,因此需要进行证书撤销。
四、证书申请及认证过程
我们设定以下场景:用户A与用户B通讯,用户B需要对用户A进行身份认证,并确认自己拿到的是用户A的公钥。
这样就需要用户A申请数字证书,具体流程如下:
1.用户A发送注册信息给RA
2.RA审查通过后发送给CA
3.CA将用户A个人信息、用户A公钥,可能还包括用户A的数字签名,打包成数字证书
4.CA将签发的数字证书下载凭证
5.CA将下载凭证给RA
6.CA将数字证书交给证书库保存
7.RA将下载凭证交回给用户A
8.用户A向CA提交下载证书申请和凭证
9.用户A从CA下载证书
10.用户A向用户B发送自己的证书
11.用户B验证证书
大概流程图如下:
数字证书验证,首先会由浏览器使用已经存储在浏览器Root CA的公钥来验证中间证书的数字签名,如果该证书的签发机构能够在可信任签发机构中找到,则为可信任证书。
如果查询不到,则从授权信息访问信息段中获得该签发机构的数字证书,并判断该授权机构数字证书的签发机构,是否能够在可信任签发机构中找到,如果找到该授权机构是可信的,并从授权机构的数字证书中获得授权机构的公钥,如果不在则重复这一步骤。如果最终都没有找到可信机构,则为不可信任证书。