數(shù)字證書的生成過程 - 非對稱加密算法原理詳細(xì)分析

　　3.2.2數(shù)字證書的生成過程

　　1、使用數(shù)字證書申請者的身份信息生成數(shù)字簽名

　　2、將證書申請者的身份信息和數(shù)字簽名一起組成數(shù)字證書

　　3.2.3數(shù)字證書原理

　　有了數(shù)字證書以后，A和想跟B通信，就可以通過B的數(shù)字證書來獲取B的公鑰，以達(dá)到驗(yàn)證自己手中的公鑰到底是不是B的目的。過程是這樣的：

　　1、B給A回信的時(shí)候，在信息后面附上了自己的數(shù)字證書

　　2、A收到B的回信以后，會(huì)取出附帶的數(shù)字證書，并讀取證書中的發(fā)布機(jī)構(gòu)（Issuer），然后從操作系統(tǒng)的受信任證書機(jī)構(gòu)列表中查找該證書辦發(fā)機(jī)構(gòu)的公鑰，如果找不到，說明這個(gè)證書頒發(fā)機(jī)構(gòu)是個(gè)不受信任的，B發(fā)過來的信息當(dāng)然也是不安全的

　　3、使用上一步取到的證書頒發(fā)機(jī)構(gòu)的公鑰，解出數(shù)字證書，得到可能是B的用戶信息和數(shù)字簽名

　　4、A通過證書中指定的加密算法對可能是B的用戶信息進(jìn)行hash加密

　　5、加密后的結(jié)果和證書中解出的數(shù)字簽名進(jìn)行對比，如果相同，就說明這份用戶信息確實(shí)是B的，也就是說用戶信息中包含的公鑰確實(shí)是B的

　　這樣就驗(yàn)證了B身份的真實(shí)性。

　　下圖很形象的表示了這個(gè)過程：

　　3.2.4證書發(fā)布中心（CA）的公鑰的嵌套驗(yàn)證

　　這里有一個(gè)有趣的問題，用戶A使用證書機(jī)構(gòu)的公鑰來驗(yàn)證用戶B的數(shù)字證書，但如果A和B使用的證書認(rèn)證中心（CA）不同怎么辦呢？由于證書認(rèn)證中心可以通過另外一個(gè)更高級(jí)別的認(rèn)證中心對該證書機(jī)構(gòu)的公鑰頒發(fā)一個(gè)證書，這樣形成了一個(gè)公鑰證書的嵌套循環(huán)，該循環(huán)的終點(diǎn)就是根證書機(jī)構(gòu)。根證書機(jī)構(gòu)較少，其公鑰可以通過安全的方式發(fā)布，如通過USB拷貝、書面文件當(dāng)面移交。如此依賴，A就必須從B的CA的樹形結(jié)構(gòu)底部開始，從底層CA往上層CA查詢，一直到找到共同的信任CA為止。

　　整個(gè)過程如下圖所示：

　　3.2.5證書發(fā)布機(jī)構(gòu)

　　3.2.5.1誰可以成為證書發(fā)布機(jī)構(gòu)

　　到這里，你可能會(huì)想，那我們自己就不能發(fā)布證書嗎？就一定要花錢去申請？

　　當(dāng)然不是，我們自己也可以成立證書發(fā)布機(jī)構(gòu)，但是需要通過一些安全認(rèn)證等等，只是有點(diǎn)麻煩。另外，如果數(shù)字證書只是要在公司內(nèi)部使用，公司可以自己給自己生成一個(gè)證書，在公司的所有機(jī)器上把這個(gè)證書設(shè)置為操作系統(tǒng)信任的證書發(fā)布機(jī)構(gòu)的證書（這句話仔細(xì)看清楚，有點(diǎn)繞口），這樣以后公司發(fā)布的證書在公司內(nèi)部的所有機(jī)器上就可以通過驗(yàn)證了（在發(fā)布證書時(shí)，把這些證書的Issuer（發(fā)布機(jī)構(gòu)）設(shè)置為我們自己的證書發(fā)布機(jī)構(gòu)的證書的Subject（主題）就可以了）。但是這只限于內(nèi)部應(yīng)用，因?yàn)橹挥形覀児咀约旱臋C(jī)器上設(shè)置了信任我們自己這個(gè)所謂的證書發(fā)布機(jī)構(gòu)，而其它機(jī)器上并沒有事先信任我們這個(gè)證書發(fā)布機(jī)構(gòu)，所以在其它機(jī)器上，我們發(fā)布的證書就無法通過安全驗(yàn)證。

　　我們自己可以去注冊一家公司來專門給別人發(fā)布證書，但是很明顯，我們自己的專門發(fā)布證書的公司是不會(huì)被那些國際上的權(quán)威機(jī)構(gòu)認(rèn)可的，人家怎么知道你是不是個(gè)狗屁皮包公司？因此微軟（或其它操作系統(tǒng)提供商）在它的操作系統(tǒng)中，并不會(huì)信任我們這個(gè)證書發(fā)布機(jī)構(gòu)，當(dāng)應(yīng)用程序在檢查證書的合法信的時(shí)候，一看證書的發(fā)布機(jī)構(gòu)并不是操作系統(tǒng)所信任的發(fā)布機(jī)構(gòu)，就會(huì)拋出錯(cuò)誤信息。也就是說windows操作系統(tǒng)中不會(huì)預(yù)先安裝好我們這個(gè)證書發(fā)布機(jī)構(gòu)的證書，不信任我們這個(gè)發(fā)布機(jī)構(gòu)。

　　3.2.5.2不受信任的證書發(fā)布機(jī)構(gòu)的危害

　　為什么一個(gè)證書發(fā)布機(jī)構(gòu)受不受信任這么重要？我們舉個(gè)例子。假設(shè)我們開了一個(gè)狗屁公司來為別人發(fā)布證書，并且我和微軟有一腿，微軟在他們的操作系統(tǒng)中把我設(shè)置為了受信任的證書發(fā)布機(jī)構(gòu)?，F(xiàn)在如果有個(gè)小公司叫hisunsray花了10塊錢讓我為他們公司申請了一個(gè)證書，并且公司慢慢壯大，證書的應(yīng)用范圍也越來越廣。然后有個(gè)奸商的公司baidu想冒充hisunsray，于是給了我￥10000，讓我為他們頒布一個(gè)證書，但是證書的名字（Subject）要寫hisunsray，假如我為了這￥10000，真的把證書給了他們，那么他們以后就可以使用這個(gè)證書來冒充hisunsray了。

　　如果是一個(gè)優(yōu)秀的證書發(fā)布機(jī)構(gòu)，比如你要向他申請一個(gè)名字叫hisunsray的證書，它會(huì)讓你提供很多資料證明你確實(shí)可以代表hisunsray這個(gè)公司，也就是說他回去核實(shí)你的身份。證書發(fā)布機(jī)構(gòu)是要為他發(fā)布出的證書負(fù)法律責(zé)任的。

　　3.2.6如何查看數(shù)字證書

　　我們的操作系統(tǒng)中會(huì)預(yù)先安裝好一些證書發(fā)布機(jī)構(gòu)的證書，我們可以通過證書管理器進(jìn)行證書的增、刪操作，下面介紹如何找到它們。

　　3.2.6.1windows

　　開始菜單-》運(yùn)行，輸入certmgr.msc，回車

　　非對稱加密算法原理詳細(xì)分析