数字证书正解

证书

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509国际标准。

加密：ca认证将文字转换成不能直接阅读的形式（即密文）的过程称为加密。

解密：将密文转换成能够直接阅读的文字（即明文）的过程称为解密。

如打算在电子文档上实现签名的目的，可使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：

信息发送者用其私匙对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。

在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数（HASH函数）生成的。对这些HASH函数的特殊要求是：

接受的输入报文数据没有长度限制；

对任何输入报文数据生成固定长度的摘要（数字指纹）输出；

从报文能方便地算出摘要；

难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；

难以生成两个不同的报文具有相同的摘要。

颁发过程

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

数字身份认证原理

若注册者认定一个人的身份，是通过注册者信任的另外一个人来进行的。注册者信任的那个人就是身份认证机构（可以是一个自然人）。把数字身份比喻成一个证件，那么数字证书就是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名），这一行为表示身份认证机构已认定这个人。

身份认证机构是人们注册公钥的机构。注册之后，身份认证机构就向注册者发一数字证书，也就是说在注册者的数字身份证上加签。服务有免费，也有收费。身份认证机构也可以是一个自然人，就如PGP和GPG系统所倡导的。

分类

基于数字证书的应用角度分类，数字证书可以分为以下几种：

服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。

在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球知名的服务器证书品牌是verisign.,thawte.geotrust等，其服务器证书编制起来的可信网络已覆盖全球，目前该公司已通过联合国内数字认证企业如天威诚信开展中国区服务

SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证，绑定网站域名，不同的产品对于不同价值的数据和要求不同的身份认证。超真SSL和超快SSL在颁发时间上已经没有什么区别，主要区别在于：超快SSL只验证域名所有权，证书中不显示单位名称；而超真SSL需要验证域名所有权、营业执照和第三方数据库验证，证书中显示单位名称：