1.证书的格式 目前与SSL协议配合并且得广泛使用的证书标准是x.509 v3。该标准规定了证书的格式,并且规定了建立证书发放系统的一些模式。 安徽CA中心颁发的数字安全证书采用x.509 v3版,其内容包括:
(1)版本号—标示证书的版本(版本1、版本2或是版本3)
(2)序列号—由证书颁发者分配的本证书的唯一标识符。
(3)签名—签名算法标识符(由对象标识符加相关参数组成),用于说明本证书所用的数字签名算法。例如,sha-1和rsa的对象标识符就用来说明该数字签名是利用rsa对sha-1杂凑加密。
(4)颁发者—证书颁发者的可识别名(dn),这是必须说明的。
(5)有效期—证书有效的时间段。
(6)主体—证书拥有者的可识别名——此字段必须是非空的, 除非使用了其他的名字形式。
(7)主体公钥信息—主体的公钥(以及算法标识符)。
(8)颁发者唯一标识符—证书颁发者的唯一标识符,仅在版本2和版本3中要求,属于可选项。
(9)主体唯一标识符—证书拥有者的唯一标识符,仅在版本2和版本3中要求,属于可选项。
(10)扩展—可选的标准和专用扩展。
2、 证书的工作原理 数字安全证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共 密钥(公钥)并由本人公开,为一组用户共享,用于加密和验证签名。例如企业之间文件的发送和接收:当发送一份保密文件时,发送方使用接收方的公钥对数据加 密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。企 业也可以采用私钥对各自的重要资料加以处理,由于密钥仅为本人所有,这样既保证了信息是由签名者自己签名发送的,签名者不能否认,又保证了信息自签发后到 收到为止未曾作过任何修改,签发的文件是真实文件,这就形成了数字签名。
3、用户如何获得密钥对 大多数情况下,当你申请数字证书时,激活安全设置会为你产生密钥对。出于安全性考虑,密钥对应当在本地产生并且私人密钥不会在网上传输。 一旦产生密钥对,就应在认证中心登记自己的公共密钥,随后认证中心将发送给用户数字凭证,以证实你的公共密钥及其他一些信息。为简化对密钥的管理工作,大 多数用户都不应为一把密钥申请多份数字凭证。
4、如何发现别人的公共密钥 假设你要找到用户甲的公共密钥,有许多可行方法,你能打电话给他,请他将公共密钥通过电子邮件发给你,你也可能发电子邮件向他提出请求,也可从安徽CA中 心提供的目录服务上查找,由于目录提供了抗攻击能力,用户可以确信其上所列的公共密钥都是属于用户甲的。 遵照x.509标准的在线目录服务将包含数字证书及公共密钥,你可通过安徽CA中心主页查找对方的数字证书。 5、认证中心的公共密钥的安全防范 认证中心的公共密钥可能受到多种因素的攻击,因此,认证中心必须使用很长的公共密钥,如1024位的公共密钥,同时还需经常地更换密钥。最高级别的认证中 心则是一个例外,由于密钥写入了被大量验证使用的软件之中,实际上不可能经常性更改密钥,安徽CA中心颁发的数字证书所带的公共密钥长度为1024位。