【正文】 書 ? 那么我們?yōu)槭裁匆湃巫o(hù)照？ ? 特定格式 ? 權(quán)威機(jī)構(gòu)簽章 ? 同樣由證書機(jī)構(gòu)生成的證書表明： ? 我已經(jīng)對(duì)這個(gè)證書進(jìn)行了簽名，保證是這個(gè)用戶持有指定的公鑰，請(qǐng)相信我。于是將這些工作交給第三方注冊(cè)機(jī)構(gòu)（ RA）來(lái)辦理。 ? 世界上最著名的證書機(jī)構(gòu)是 VeriSign與Entrust。 Entrust ? ? ? Entrust 科技公司，在美國(guó) NASDAQ上市。 ? 這個(gè)方法仍然通過(guò)軟件聯(lián)網(wǎng)操作。 數(shù)字證書 Subject Name Public Key … CA的數(shù)字簽名 要驗(yàn)證整個(gè)證書，就要用 CA的公鑰刪除簽名，如果能刪除簽名，則可肯定這個(gè)證書有效。 ? 用于加 /解密的私鑰則要在到期后備份，以便今后恢復(fù)加密信息。 ? CA發(fā)現(xiàn)簽發(fā)數(shù)字證書時(shí)出錯(cuò)。 ? 證書機(jī)構(gòu)用程序生成 ? 發(fā)給用戶一份，自己留一份。 證書的生成 ? 關(guān)系人圖 最終用戶 最終用戶 最終用戶 最終用戶 證書機(jī)構(gòu) CA 注冊(cè)機(jī)構(gòu) RA 證書機(jī)構(gòu)任務(wù)很多，如簽發(fā)新證書，維護(hù)舊證書、吊銷無(wú)效證書等。這就是證書機(jī)構(gòu) ? 證書機(jī)構(gòu)通常是一些著名的組織，如郵局、財(cái)務(wù)機(jī)構(gòu)、軟件公司等。公司于 1997年成立，前身為加拿大北方電訊（ NortelNetworks）數(shù)據(jù)網(wǎng)絡(luò)安全研發(fā)部。包括提交用戶的密鑰保護(hù)提問(wèn)等信息。 跳轉(zhuǎn)到數(shù)字證書格式 如何簽名數(shù)字證書 ? CA首先對(duì)證書的所有字段計(jì)算一個(gè)消息摘要（ MD5或 SHA1） ? 用自己的私鑰加密消息摘要（ RSA） ? 將這個(gè)數(shù)字簽名作為數(shù)字證書的最后一個(gè)字段插入 ? 如同在護(hù)照上蓋章簽字一樣。 密鑰更新 ? 證書到期后要更新 ? CA根據(jù)原先的密鑰對(duì)重新簽發(fā)新證書 ? 生成新的密鑰對(duì)， CA根據(jù)新的密鑰對(duì)簽發(fā)新證書。 ? 通常每個(gè)國(guó)家都有自己的根 CA，有時(shí)一個(gè)國(guó)家還有多個(gè)根 CA ? 那么就要求不同的根 CA之間要實(shí)現(xiàn)交叉證書 CA的交叉證書 美國(guó)的根 CA 二級(jí) CA (A1) 二級(jí) CA (A3) 三級(jí) CA （ B1） 三級(jí) CA （ B2） 三級(jí) CA （ B10） 三級(jí) CA （ B11） Alice Bob 中國(guó)的根 CA Alice認(rèn)證 Bob證書的順序： Bob— B11— A3— Bob的根 CA— Alice的根 CA 證書吊銷 ? 數(shù)字證書持有者報(bào)告說(shuō)證書中指定的公鑰對(duì)應(yīng)的私鑰被破解了或被盜了。 證書生成 ? RA將用戶的所有細(xì)節(jié)傳遞給證書機(jī)構(gòu)，證書機(jī)構(gòu)進(jìn)行必要的驗(yàn)證，然后生成數(shù)字證書。 擴(kuò)展密鑰用法（ Extended Key Usage) 可以補(bǔ)充或取代密鑰用法字段，指定這個(gè)證書可以采用哪些協(xié)議。 護(hù)照項(xiàng)目 數(shù)字證書項(xiàng)目 姓名（ Full Name) 主體名（ Subject name) 護(hù)照號(hào)（ Passport number） 序號(hào)（ Serial number) 起始日期（ Valid from) 相同 終止日期（ Valid to) 相同 簽發(fā)者（ Issued by) 簽發(fā)者名（ Issuer name) 照片與簽名（ Photograph and signature) 公鑰（ Public key) 證書機(jī)構(gòu) ? 如同護(hù)照的簽發(fā)必須由政府部門一樣 ? 數(shù)字證書的簽發(fā)必須有一個(gè)權(quán)威或第三方信任的組