【文章內容簡介】 傳送、網上公文傳送、網上簽約、網上招標投標、網上辦公系統(tǒng)等。 ?服務器證書（站點證書） ? 服務器證書證實服務器的身份和公鑰。 ? 它主要用于網站交易服務器的身份識別，使得連接到服務器的用戶確信服務器的真實身份。目的是保證客戶和服務器之間交易、支付時確保雙方身份的真實性、安全性、可信任性等。 ? 代碼簽名證書 又稱代碼數(shù)字證書，代表軟件開發(fā)者的身份，用于對其開發(fā)的軟件進行數(shù)字簽名，證明軟件的合法性。 信用卡身份證書 包括消費者、商戶和支付網關，均符合 Set協(xié)議。 ? 身份認證證書的內容及有效性 數(shù)字證書的內部格式遵循 。 電信聯(lián)盟 (ITU— T)制定的數(shù)字證書標準 。 根據(jù)這項標準 ，證書包括申請證書個人的信息和發(fā)行證書機構的信息 。 一 、 證書數(shù)據(jù)的組成 證書擁有者的姓名；證書所有人的名稱，命名規(guī)則一般采用 ； 證書的版本信息。用來與 。 證書的序列號。每個證書都有一個唯一的證書序列號。 證書所使用的簽名算法。 、 頒發(fā)者。即證書的發(fā)行機構名稱，命名規(guī)則一般采用。 ? ? 證書的有效期限?，F(xiàn)在通用的證書一般采用 UTC時間格式，它的計時范圍為 19502049； 證書主題名稱； ? 證書所有人的公開密鑰；包括公鑰算法、公鑰的位字符串表示（只適用于 RSA加密體制）； ? 包含額外信息的特別擴展。 ? 二、 證書發(fā)行者對證書的簽名與簽名算法。 ? 按 ： ? CA《 A》 =CA?V， SN， AI， CA， UCA， A， UA， Ap，Ta? ? 其中： CA《 A》 認證機構 CA為用戶 A頒發(fā)的證書 ? CA?, , ,?認證機構 CA對花括弧內證書內容進行的數(shù)字簽名 ? V證書版本號 ? SN證書序列號 ? AI用于對證書進行簽名的算法標識 ? CA簽發(fā)證書的 CA機構的名字 ? UCA簽發(fā)證書的 CA的惟一標識符 ? A用戶 A的名字 UA用戶 A的惟一標識 ? Ap用戶 A的公鑰 Ta證書的有效期 ? 從 V到 Ta是證書在標準域中的主要內容。 ? 為了解決身份驗證、交易的不可否認這兩個問題，就必須引入一個公正的裁判，一個交易雙方均信任的第三方，對買賣雙方進行身份驗證，以使交易的參與者確信自己確實是在與對方交易。同時，在公開密鑰體系中，公開密鑰的真實性鑒別是一個重要問題。這個各方均信任的裁判就是 CA安全認證機構。 公鑰基礎設施 PKI和證書系統(tǒng) ? 公鑰證書的申請及吊銷 ? 一、證書的申請 ? ? 公鑰 /私鑰對的管理包括公鑰 /私鑰對生成、發(fā)行、分配、更新、暫停使用、吊銷注冊等。 ? 用戶申請證書要向 CA注冊，填證書申請表，建立起注冊者與 CA的關系，注冊者向 CA提供必要的有關信息。在 Inter環(huán)境下，可以通過聯(lián)機實現(xiàn)申請。 ? CA需要對注冊者進行主體認證，確保公鑰的持有者身份和公鑰數(shù)據(jù)的完整性。 ? 具體如下： ? 個人出面方式。 ? 出示身份證件，通過身份證件供 CA審查。 ? CA認證申請者的身份后，按下列步驟： ? CA 檢索所需的證書內容信息 ? CA證實這些信息的正確性 ? CA用其簽名密鑰對證書進行簽名 ? 將證書的一個復制件送給注冊者需要時要求注冊者回送證書的收據(jù)。 ? CA將證書送入證書數(shù)據(jù)庫，向公用檢索業(yè)務機構公布。 ? 將證書存檔。 ? CA將證書生成過程的一些細節(jié)記入審計記錄中。 ? 在電子商務網絡環(huán)境下，為了便利用戶，CA可以設置一些地區(qū)注冊 CA—— LRA，以協(xié)助 CA加速注冊工作。 ? LRA的功能有 ? （ 1） 注冊、撤消注冊、改變注冊者屬性等；（ 2）對注冊者進行身份認證； ? （ 3）授權時可生成密碼對和證書，恢復備份密鑰； ? （ 4）接受和授權暫時中止或吊銷證書； ? （ 5）實際分配個人持證，恢復有故障持證以及授權代為保存。 ? 證書使用期限總是有限的，一般可以更換過期證書，密鑰對也需要定期更換。 ? 在電子商務中，多數(shù)商務需要多公鑰證書系統(tǒng)。為了構成證書鏈，需要得到相應的公鑰證書的復本。證書鏈中證書復本的傳播方式有： ? （ 1）伴有簽名的證書； ? （ 2）通過檢索服務實現(xiàn)傳播； ? （ 3）其他方式。 ? 數(shù)字證書的有效性 ? 只有下列條件為真時 ， 數(shù)字證書才有效 。 ? ① 證書沒有過期 ? ② 密鑰沒有修改 ? ③ 用戶有權使用這個密鑰 ? ④ 證書必須不在無效證書清單中 ? 公鑰證書的使用期限與授權信息 證書的使用期限 ? 證書除了有效期，還有使用期限。證書的使用期限的長短由其用途來定。 ? 證書作為加密用時，必須對公鑰所有者的身份認定后才能使用，解密密鑰的使用期限取決于在公鑰合法使用期中加密的文件何時需要解密來定，甚至可能延續(xù)到公鑰證書使用期過很久還需要啟用。 ? 數(shù)字簽名用時需要區(qū)別以下兩種情況： ? （ 1）歷史性； ? （ 2）證書用戶只關心得到證書吊銷的通知是否先于簽名證實的時間，而對簽名出現(xiàn)較早的時間不關心； ? CA密鑰對的使用期限與上述簽名用的密鑰對的一種情況類似。需要采用適當?shù)姆椒?，?CA能限制其密鑰的泄露，其中限制使用期限是一個重要措施。 ? 公鑰證書的授權信息 ? 公鑰證書的基本目的是將公鑰與個人的身份、個人期間或其他實體的有關身份信息聯(lián)系起來，在用公鑰證實數(shù)字簽名時，在確信簽名之前，有時還需要有關簽名人的其他信息，特別是要知道簽名者是否被授權為對某特定目的的簽名人。 ?二、證書吊銷 公鑰 /私鑰對在證書發(fā)行時規(guī)定了失效期。其值由 CA根據(jù)安全策略來定。 CA還可以提前吊銷或暫停使用。 ? 注冊用戶可以向 CA申請吊銷其證書， CA通過認證核實，即可履行吊銷職責，并通知有關組織和個人。注冊用戶的上級等也可申請吊銷用戶證書。 ? 對已吊銷的證書， CA要將它們記入證書吊銷表CRL中，并向可能的用戶公布，以供查詢。 CRL要定時（甚至按小時）更新公布。 ? 證書具有一個指定的壽命，但 CA 可通過稱為證書吊銷的過程來縮短這一壽命。 CA 發(fā)布一個證書吊銷列表 (CRL)，列出被認為不能再使用的證書的序列號。CRL 指定的壽命通常比證書指定的壽命短得多。 CA 也可以在 CRL 中加入證書被吊銷的理由。它還可以加入被認為這種狀態(tài)改變所適用的起始日期。 可將下列情況指定為吊銷證書的理由： 泄露密鑰 泄露 CA 從屬關系改變 被取代 業(yè)務終止 ? 數(shù)字證書廢除列表（ CRL）上顯示了所有在原定失效日期到達之前被廢除的數(shù)字證書，廢除后的數(shù)字證書不能使用。此外密鑰也可能會僅供公司中某一特定人員使用，如一把密鑰的正式名稱是 張浩理，安財軟件公司的員工 ，一旦張浩理被解雇，公司就不希望他再用這張數(shù)字證書對文件做數(shù)字簽名，因此，公司就會請求數(shù)字證書管理中心吊銷張浩理的數(shù)字證書，并將其序列號置于 CRL中。 ? 證書持有（這是唯一讓您能夠改變被吊銷證書狀態(tài)的理由碼，在證書狀態(tài)有問題的情況下非常有用） 由 CA吊銷證書意味著， CA 在證書正常到期之前撤銷其允許使用該密鑰對的有關聲明。在吊銷的證書到期之后， CRL 中的有關條目被刪除，以縮短 CRL 列表的大小。 在驗證簽名期間，應用程序可以檢查 CRL，以確定給定證書和密鑰對是否仍然可信。如果不可信，應用程序可以判斷吊銷的理由或日期對使用有疑問證書是否有影響。如果該證書被用來驗證簽名，且簽名的日期早于 CA 吊銷該證書的日期，那么該簽名仍被認為是有效的。 應用程序獲得 CRL 之后，由客戶機緩存 CRL ，在它到期之前客戶機將一直使用它。如果 CA 發(fā)布了新的 CRL，擁有有效 CRL 的應用程序并不使用新的 CRL，直到應用程序擁有的 CRL 到期為止。 ? CR