歡迎來到東用知識(shí)小課堂！
CA證書，也是根證書，是最頂級(jí)的證書，也是CA認(rèn)證中心與用戶建立信任關(guān)系的基礎(chǔ)，用戶的數(shù)字證書必須有一個(gè)受信任的根證書，用戶的數(shù)字證書才是有效的。

1.CA認(rèn)證中心
所謂CA認(rèn)證中心，它是采用PKI（Public Key Infrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，CA可以是民間團(tuán)體，也可以是政府機(jī)構(gòu)。負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，它的作用就像我們現(xiàn)實(shí)生活中頒發(fā)證件的公司，如護(hù)照辦理機(jī)構(gòu)。目前國內(nèi)的CA認(rèn)證中心主要分為區(qū)域性CA認(rèn)證中心和行業(yè)性CA認(rèn)證中心。
2.證書信任鏈
證書直接是可以有信任關(guān)系的,通過一個(gè)證書可以證明另一個(gè)證書也是真實(shí)可信的.實(shí)際上，證書之間的信任關(guān)系，是可以嵌套的。比如，C信任A1，A1信任A2，A2信任A3…這個(gè)叫做證書的信任鏈。只要你信任鏈上的頭一個(gè)證書，那后續(xù)的證書，都是可以信任的。
處于最頂上的樹根位置的那個(gè)證書，就是“根證書”。除了根證書，其它證書都要依靠上一級(jí)的證書，來證明自己。那誰來證明“根證書”可靠呢？實(shí)際上，根證書是自己證明自己是可靠的（或者換句話說，根證書是不需要被證明的）。
你此刻應(yīng)該意識(shí)到了：根證書是整個(gè)證書體系安全的根本。所以，如果某個(gè)證書體系中，根證書出了問題（不再可信了），那么所有被根證書所信任的其它證書，也就不再可信了。
接下來我們就以東用科技的上云助手軟件為例，來給大家詳細(xì)講解一下

3.證書的用處
1).驗(yàn)證網(wǎng)站是否可信（針對HTTPS）
通常，我們?nèi)绻L問某些敏感的網(wǎng)頁（比如用戶登錄的頁面），其協(xié)議都會(huì)使用HTTPS而不是HTTP。因?yàn)镠TTP協(xié)議是明文的，一旦有壞人在偷窺你的網(wǎng)絡(luò)通訊，你的密碼、銀行帳號(hào)等網(wǎng)絡(luò)通訊內(nèi)容就會(huì)泄露出去;但是HTTPS是加密的協(xié)議，可以保證你的信息在傳輸過程中的安全。所以，HTTPS協(xié)議除了有加密的機(jī)制，還有一套證書機(jī)制。通過證書來確保某個(gè)站點(diǎn)的真實(shí)實(shí)體信息。
有了證書之后，當(dāng)你的瀏覽器在訪問某個(gè)HTTPS網(wǎng)站時(shí)，會(huì)驗(yàn)證該站點(diǎn)上的CA證書。如果瀏覽器發(fā)現(xiàn)該證書沒有問題，那么頁面就直接打開;否則的話，瀏覽器會(huì)給出一個(gè)警告，告訴你該網(wǎng)站的證書存在問題，是否繼續(xù)訪問該站點(diǎn)?
大多數(shù)知名的網(wǎng)站都會(huì)使用HTTPS協(xié)議，其證書都是可信的。如果你上某網(wǎng)站，發(fā)現(xiàn)瀏覽器跳出警告，一定要小心，這個(gè)網(wǎng)站可能是釣魚網(wǎng)站。
2).驗(yàn)證某文件是否可信（是否被篡改）
你所簽署的文件是否被篡改，具體是通過證書來制作文件的數(shù)字簽名。我們來舉個(gè)軟件按照的例子，具體說下如何驗(yàn)證文件的數(shù)字簽名。
比如，一個(gè)帶有數(shù)字簽名的安裝文件，上面有個(gè)“數(shù)字簽名”的標(biāo)簽頁。如果沒有出現(xiàn)這個(gè)標(biāo)簽頁，就說明該文件沒有附帶數(shù)字簽名。
然而，某些數(shù)字簽名中沒有包含“郵件地址”，那么這一項(xiàng)會(huì)顯示“不可用”;同樣的，某些數(shù)字簽名沒有包含“時(shí)間戳”，也會(huì)顯示“不可用”。這些地方顯示的“不可用”跟數(shù)字簽名的有效性沒關(guān)系。
一般來說，簽名列表中，有且僅有一個(gè)簽名。選中它，點(diǎn)“詳細(xì)信息”按鈕，會(huì)顯示一行字：“該數(shù)字簽名正?！?。如果有這行字，就說明該文件從出廠到你手里，中途沒有被篡改過。

如果該文件被篡改過了(比如感染了病毒、被注入木馬)，那么對話框會(huì)出現(xiàn)一個(gè)警告提示“該數(shù)字簽名無效”。
不論簽名是否正常，你都可以點(diǎn)“查看證書”按鈕。這時(shí)候，會(huì)跳出證書的對話框。
目前大多數(shù)知名的公司或組織機(jī)構(gòu)發(fā)布的可執(zhí)行文件(比如軟件安裝包、驅(qū)動(dòng)程序、安全補(bǔ)丁)，都帶有數(shù)字簽名。建議大家在安裝軟件之前，都先看看是否有數(shù)字簽名，如果有，就按照上述步驟驗(yàn)證;如果數(shù)字簽名無效，建議你還是別裝了，會(huì)有安全隱患。
好了！今天的東用知識(shí)小課堂到這里就結(jié)束了，大家如果還有疑問的話，可以在下方留言或者私信給我們，我們下期再見！