CA与数字证书的自结

1.CA

CA(Certificate Authority)是数字证书认证中心的简称，是指发放数字证书、管理数字证书、废除数字证书的权威机构。CA的作用就是提供证书（即服务器证书，由域名、公司信息、序列号和签名信息组成）加强服务端和客户端之间信息交互的安全性，以及证书运维相关服务。任何个体/组织都可以扮演CA的角色，只不过难以得到客户端（比如浏览器）的信任，能够受浏览器默认信任的CA大厂商有很多，其中TOP5是Symantec、Comodo、Godaddy、GolbalSign 和 Digicert。

 

2.数字证书

 假设向CA申请数字证书的单位为A，则他申请的数字证书中含有的内容为：

              a）A的公钥数据

              b）相应私钥拥有者（也就是A）的身份信息

              c）CA机构对数字证书进行了数字签名

              d）包含了CA的名称，以便于依赖方找到CA的公钥、验证证书上的数字签名

Remarks：在第c）条中，当某个用户得到某个单位的数字证书时，要该数字证书进行认证，就是看看是不是相应的CA机构发过来的，那么就需要得到CA的公钥。取得公钥有两种方式，一是通过另外一个CA机构得到CA机构的公钥，二是通过权威媒体或者红头文件得到CA机构的公钥。有了CA机构的公钥，就可以验证得到的数字证书是否为CA机构发过来的。

其中证书格式版本号，现在绝大部分证书遵循X.509 v3结构，v3就是X.509的版本号。

 

3.CA颁发的SSL字证书的分类

SSL证书需要向国际公认的证书证书认证机构（简称CA，Certificate Authority）申请。CA机构颁发的证书有3种类型：

（1）域名型SSL证书（DV SSL）：即Domain Validation SSL证书，信任等级普通，只需验证网站的真实性便可颁发证书保护网站；

（2）企业型SSL证书（OV SSL）：即Organization Validation SSL证书，信任等级强，须要验证企业的身份，审核严格，安全性更高；

（3）增强型SSL证书（EV SSL）：即Extended Validation SSL证书，信任等级最高，一般用于银行证券等金融机构，审核严格，安全性最高，同时可以激活绿色网址栏，显示注册公司的信息。形式如下：

         如果是个人博客、中小企业网站和一些传统行业的形象展示类网站，一般来说只需要申请一个域名型SSL证书（DV SSL）就足够了。对于一般的小型网站尤其是博客，可以使用自签名证书来构建安全网络，所谓自签名证书，就是自己扮演 CA 机构，自己给自己的服务器颁发证书。

 

4.CSR文件

 

CSR，英文全称为Cerificate Signing Request，即证书请求文件。证书申请者在申请数字证书时，首先要生成私钥Private Key，同时也生成证书请求文件CSR。证书申请者只需要把CSR文件提交给证书颁发机构（即CA）后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的SSL证书。说白了，CSR文件就是没有经过CA机构签名的SSL证书。

一般来说，网上有很多在线的CSR文件生成工具，这些工具在生成CSR文件的同时，也会生成私钥文件。

 

5.自签名证书 | 自建CA | 颁发其他SSL证书

自签名证书，就是用自己的私钥给自己的CSR文件签名所生成的证书。这样就形成了一个CA，我们可以使用它来颁发其他的证书，也就是用私钥去给其他的CSR文件签名，如果浏览器导入了自签名证书，那么浏览器就会信任由自签名证书颁发的其他的证书。

 

备注：这样一来，我们可以有两种方式来获取到SSL证书。一种是向权威证书颁发机构申请证书；另一种就是自建CA（自签名的根证书）以及颁发自己的证书。

 

 

6.关于CA与数字证书的一点闲话：

             a）CA完成签发数字证书后，会将证书发布在CA的证书库（目录服务器）中，任何人都可以查询和下载，因此数字证书是对外公开的。

             b）CA为某单位发放数字证书，说白了，就是帮助该单位公布它的公钥。从而让外界准确的得到该单位的公钥。

             c）可以这样说，数字证书就是经过CA认证过的公钥，而私钥一般情况都是由证书持有者在自己本地生成的，由证书持有者自己负责保管。具体使用时，签名操作是发送方用私钥进行签名，接受方用发送方证书来验证签名；加密操作则是用接受方的证书进行加密，接受方用自己的私钥进行解密。（此话待验证）

           d）这些CA本身也有证书来证明自己的身份，并且CA的信用是像树一样分级的，高层的CA给底层的CA做信用背书，而操作系统/浏览器中会内置一些顶层的CA的证书，相当于你自动信任了他们。 这些顶层的CA证书一定得安全地放入操作系统/浏览器当中，否则世界大乱。

 

7.USB Key（有待研究）

 USB Key，中文就是U盾，优key等等。USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及其数字证书。