数字证书的构成和原理.docx

数字证书的构成和原理
１、数字证书的格式
Ｖ3标准。
2、数字证书的作用
数字证书是PKI标准基于公钥密码体制,用于标志通讯各方身份的一种证书。一般是由权威的CA认证机构颁发，用于在网络流通中让别人识别自己的身份。主要用于密钥管理上。
在使用公钥协商对称密钥的安全通讯中,客户端会先收到服务端收到的数字证书，证书中包含了服务端的公开密钥，再使用这个公开密钥加密客户端产生的对称密钥,就组成了数字信封。客户端会先查看证书是否过期，发行服务器证书的 CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果符合要求,用户就可以用该证书里的公钥来验证服务端私钥的签名。
数字证书为什么能作为标志身份的工具,并运用在密钥管理之上呢?
ﻩ因为数字证书具有安全性、唯一性、不可篡改性等特性（具体实现在后面的原理部分会体现)。因此被权威的CA认证中心颁发了证书的个人或者单位,可以用它来唯一的标识自己的身份。
3、数字证书的构成与原理
ﻩ1）数字证书的构成
数字证书是一连串被处理过的信息的集合。下面是一个已经存在于计算机中的证书样板:
一个证书中包含很多内容，下面是其中几个主要的内容（仅列出一部分）:
ﻩVeｒsiｏn 证书版本号,不同版本的证书格式不同
Serial Nｕmｂeｒ 序列号,同一身份验证机构签发的证书序列号唯一　
Issｕer　证书发布机构，指出这个证书是哪个公司创建的,这是哪个ＣA中心的证书
Valid froｍ,Ｖalｉｄ to 证书的有效期,也就是证书的使用期限
Suｂｊect 主题,就是这个证书的所有者(由于上面的证书是在电脑中的根证书，所以Issｕer跟Subject是一样的）
Publｉｃ ｋｅy 公钥,即该证书持有人的公钥
Sｉgnａtuｒe algoｒithm 签名算法,指的是这个数字证书中的数字签名所使用的加密算法,可以通过根证书中的公钥对这个证书中的指纹进行解密
Ｔhumbprinｔ,Thumｂｐrｉｎt aｌgｏriｔhm 指纹以及指纹算法,在证书发布的时候,发布机构会根据指纹算法先计算出整个证书的hａsh值，并使用证书发布机构的私钥对其进行签名构成一个指纹,并将指纹与该证书放在一起
ﻩ2)基于数字证书的PKI公钥密码体制
ﻩ一个公司想要在网络上标志自己的身份，可以向一个权威的CＡ中心购买证书。假如某公司A向某知名CA中心B购买证书，CA中心首先会去确认该公司的身份,确认完之后，会给该公司颁发一个数字证书(内容和上面的基本一致）。此外还会给公司一个证书公钥对应的私钥。
之后,如果有一个客户需要在网络上认证该公司身份,公司会先将自己的数字证书发送给客户。客户查看证书中的版本、认证中心是否权威、证书是否过期、证书持有人是否是该公司、CA认证的根证书是否能解开该证书中的数字签名、证书是否被修改,查看完之后确认该证书确实是该公司所有。然后发送一条明文给服务端，让服务端用私钥签名之后返回。客户收到签名后的消息,用证书中的公钥解开,看是否与自己发送的消息一致,如果一致则确认对方确实是你要连接的公司。