數(shù)字證書(shū)的生成過(guò)程 - 非對(duì)稱(chēng)加密算法原理詳細(xì)分析

　　3.2.2數(shù)字證書(shū)的生成過(guò)程

　　1、使用數(shù)字證書(shū)申請(qǐng)者的身份信息生成數(shù)字簽名

　　2、將證書(shū)申請(qǐng)者的身份信息和數(shù)字簽名一起組成數(shù)字證書(shū)

　　3.2.3數(shù)字證書(shū)原理

　　有了數(shù)字證書(shū)以后，A和想跟B通信，就可以通過(guò)B的數(shù)字證書(shū)來(lái)獲取B的公鑰，以達(dá)到驗(yàn)證自己手中的公鑰到底是不是B的目的。過(guò)程是這樣的：

　　1、B給A回信的時(shí)候，在信息后面附上了自己的數(shù)字證書(shū)

　　2、A收到B的回信以后，會(huì)取出附帶的數(shù)字證書(shū)，并讀取證書(shū)中的發(fā)布機(jī)構(gòu)（Issuer），然后從操作系統(tǒng)的受信任證書(shū)機(jī)構(gòu)列表中查找該證書(shū)辦發(fā)機(jī)構(gòu)的公鑰，如果找不到，說(shuō)明這個(gè)證書(shū)頒發(fā)機(jī)構(gòu)是個(gè)不受信任的，B發(fā)過(guò)來(lái)的信息當(dāng)然也是不安全的

　　3、使用上一步取到的證書(shū)頒發(fā)機(jī)構(gòu)的公鑰，解出數(shù)字證書(shū)，得到可能是B的用戶(hù)信息和數(shù)字簽名

　　4、A通過(guò)證書(shū)中指定的加密算法對(duì)可能是B的用戶(hù)信息進(jìn)行hash加密

　　5、加密后的結(jié)果和證書(shū)中解出的數(shù)字簽名進(jìn)行對(duì)比，如果相同，就說(shuō)明這份用戶(hù)信息確實(shí)是B的，也就是說(shuō)用戶(hù)信息中包含的公鑰確實(shí)是B的

　　這樣就驗(yàn)證了B身份的真實(shí)性。

　　下圖很形象的表示了這個(gè)過(guò)程：

　　3.2.4證書(shū)發(fā)布中心（CA）的公鑰的嵌套驗(yàn)證

　　這里有一個(gè)有趣的問(wèn)題，用戶(hù)A使用證書(shū)機(jī)構(gòu)的公鑰來(lái)驗(yàn)證用戶(hù)B的數(shù)字證書(shū)，但如果A和B使用的證書(shū)認(rèn)證中心（CA）不同怎么辦呢？由于證書(shū)認(rèn)證中心可以通過(guò)另外一個(gè)更高級(jí)別的認(rèn)證中心對(duì)該證書(shū)機(jī)構(gòu)的公鑰頒發(fā)一個(gè)證書(shū)，這樣形成了一個(gè)公鑰證書(shū)的嵌套循環(huán)，該循環(huán)的終點(diǎn)就是根證書(shū)機(jī)構(gòu)。根證書(shū)機(jī)構(gòu)較少，其公鑰可以通過(guò)安全的方式發(fā)布，如通過(guò)USB拷貝、書(shū)面文件當(dāng)面移交。如此依賴(lài)，A就必須從B的CA的樹(shù)形結(jié)構(gòu)底部開(kāi)始，從底層CA往上層CA查詢(xún)，一直到找到共同的信任CA為止。

　　整個(gè)過(guò)程如下圖所示：

　　3.2.5證書(shū)發(fā)布機(jī)構(gòu)

　　3.2.5.1誰(shuí)可以成為證書(shū)發(fā)布機(jī)構(gòu)

　　到這里，你可能會(huì)想，那我們自己就不能發(fā)布證書(shū)嗎？就一定要花錢(qián)去申請(qǐng)？

　　當(dāng)然不是，我們自己也可以成立證書(shū)發(fā)布機(jī)構(gòu)，但是需要通過(guò)一些安全認(rèn)證等等，只是有點(diǎn)麻煩。另外，如果數(shù)字證書(shū)只是要在公司內(nèi)部使用，公司可以自己給自己生成一個(gè)證書(shū)，在公司的所有機(jī)器上把這個(gè)證書(shū)設(shè)置為操作系統(tǒng)信任的證書(shū)發(fā)布機(jī)構(gòu)的證書(shū)（這句話(huà)仔細(xì)看清楚，有點(diǎn)繞口），這樣以后公司發(fā)布的證書(shū)在公司內(nèi)部的所有機(jī)器上就可以通過(guò)驗(yàn)證了（在發(fā)布證書(shū)時(shí)，把這些證書(shū)的Issuer（發(fā)布機(jī)構(gòu)）設(shè)置為我們自己的證書(shū)發(fā)布機(jī)構(gòu)的證書(shū)的Subject（主題）就可以了）。但是這只限于內(nèi)部應(yīng)用，因?yàn)橹挥形覀児咀约旱臋C(jī)器上設(shè)置了信任我們自己這個(gè)所謂的證書(shū)發(fā)布機(jī)構(gòu)，而其它機(jī)器上并沒(méi)有事先信任我們這個(gè)證書(shū)發(fā)布機(jī)構(gòu)，所以在其它機(jī)器上，我們發(fā)布的證書(shū)就無(wú)法通過(guò)安全驗(yàn)證。

　　我們自己可以去注冊(cè)一家公司來(lái)專(zhuān)門(mén)給別人發(fā)布證書(shū)，但是很明顯，我們自己的專(zhuān)門(mén)發(fā)布證書(shū)的公司是不會(huì)被那些國(guó)際上的權(quán)威機(jī)構(gòu)認(rèn)可的，人家怎么知道你是不是個(gè)狗屁皮包公司？因此微軟（或其它操作系統(tǒng)提供商）在它的操作系統(tǒng)中，并不會(huì)信任我們這個(gè)證書(shū)發(fā)布機(jī)構(gòu)，當(dāng)應(yīng)用程序在檢查證書(shū)的合法信的時(shí)候，一看證書(shū)的發(fā)布機(jī)構(gòu)并不是操作系統(tǒng)所信任的發(fā)布機(jī)構(gòu)，就會(huì)拋出錯(cuò)誤信息。也就是說(shuō)windows操作系統(tǒng)中不會(huì)預(yù)先安裝好我們這個(gè)證書(shū)發(fā)布機(jī)構(gòu)的證書(shū)，不信任我們這個(gè)發(fā)布機(jī)構(gòu)。

　　3.2.5.2不受信任的證書(shū)發(fā)布機(jī)構(gòu)的危害

　　為什么一個(gè)證書(shū)發(fā)布機(jī)構(gòu)受不受信任這么重要？我們舉個(gè)例子。假設(shè)我們開(kāi)了一個(gè)狗屁公司來(lái)為別人發(fā)布證書(shū)，并且我和微軟有一腿，微軟在他們的操作系統(tǒng)中把我設(shè)置為了受信任的證書(shū)發(fā)布機(jī)構(gòu)?，F(xiàn)在如果有個(gè)小公司叫hisunsray花了10塊錢(qián)讓我為他們公司申請(qǐng)了一個(gè)證書(shū)，并且公司慢慢壯大，證書(shū)的應(yīng)用范圍也越來(lái)越廣。然后有個(gè)奸商的公司baidu想冒充hisunsray，于是給了我￥10000，讓我為他們頒布一個(gè)證書(shū)，但是證書(shū)的名字（Subject）要寫(xiě)hisunsray，假如我為了這￥10000，真的把證書(shū)給了他們，那么他們以后就可以使用這個(gè)證書(shū)來(lái)冒充hisunsray了。

　　如果是一個(gè)優(yōu)秀的證書(shū)發(fā)布機(jī)構(gòu)，比如你要向他申請(qǐng)一個(gè)名字叫hisunsray的證書(shū)，它會(huì)讓你提供很多資料證明你確實(shí)可以代表hisunsray這個(gè)公司，也就是說(shuō)他回去核實(shí)你的身份。證書(shū)發(fā)布機(jī)構(gòu)是要為他發(fā)布出的證書(shū)負(fù)法律責(zé)任的。

　　3.2.6如何查看數(shù)字證書(shū)

　　我們的操作系統(tǒng)中會(huì)預(yù)先安裝好一些證書(shū)發(fā)布機(jī)構(gòu)的證書(shū)，我們可以通過(guò)證書(shū)管理器進(jìn)行證書(shū)的增、刪操作，下面介紹如何找到它們。

　　3.2.6.1windows

　　開(kāi)始菜單-》運(yùn)行，輸入certmgr.msc，回車(chē)

　　非對(duì)稱(chēng)加密算法原理詳細(xì)分析