ca认证中心
CA机构介绍(CertificateAuthority域名SSL证书颁发机构)
CA机构介绍(CertificateAuthority域名SSL证书颁发机构)SSL证书机构即CA机构的全称为Certificate Authority证书认证中⼼,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构。
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为⽬标的 HTTP 通道,在HTTP的基础上通过传输加密和⾝份认证保证了传输过程的安全性。
HTTPS 在HTTP 的基础下加⼊SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要SSL。
HTTPS 存在不同于 HTTP 的默认端⼝及⼀个加密/⾝份验证层(在 HTTP与 TCP 之间)。
这个系统提供了⾝份验证与加密通讯⽅法。
⽬前全球主流的CA机构有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等,其中Symantec、GeoTrust都是DigiCert机构的⼦公司,⽬前市场上主流的ssl证书品牌是Comodo证书、Symantec证书、GeoTrust证书、Thawte证书和RapidSSL证书,还有⼀些不知名的证书机构也是可以颁发数字证书的。
DigiCertDigiCert 旗下拥有 DigiCert,Symantec,Geotrust,Thawte,Rapid 5⼤SSL证书品牌。
DigiCert SSL证书分为 OV 和 EV 两种验证级别,同时⽀持多域名和通配符功能,也是全球极少能⽀持 IP 直接申请证书的CA之⼀。
Symantec赛门铁克(Symantec)SSL证书前⾝为 Verisign,后于2017年12⽉被DigiCert收购,现在已经使⽤ DigiCert 根证书。
Symantec Secure Site SSL证书依然是各⾏业尤其是⾦融银⾏证券等⼤型企业认可的品牌。
基于入侵容忍的CA认证中心设计与研究
国 国防 高级研 究 项 目署 启动 了一个 新
的研 究和开 发方 向 ,名为 “ e r Th 3 d G n r to S c r y (GS ” e e ain e u i t 3 ) ,主要 研 究入侵 容 忍技 术 ,包括 系统 在面 临 攻 击 情 况 下 保 持 系统 幸 存 性 和 弹 性 ( 自动 恢 复 ) 的能 力 ,以及 对 这 些 能 力进 行评估 的手 段 。
维普资讯
术
基于入侵容忍的 C A认证 中心设计与研 究
} 由 刘 :
( 健雄职业技术学院 ,江 苏 太 仓 2 5 1 ) 14 1
摘 要 :该 文介 绍 了入 侵 容 忍技 术 的概 念 、应 用领 域 、 分 类、 实 现 方 法 , 以 入 侵容 忍 为应 用 背景 ,利 用安 全增 强 的基 于 g A可 S 验 证 门限 签名 方 案 ,设 计 入 侵 容 忍 的 c A认 证 中心 ,给 出 了具 体 的 系统 结 构 和 功 能 , 工作 协 议 , 同时指 出实现 方 法 。 关 键 词 :入 侵 容忍 ; 门 限 密码体 制 ; 门 限 签名 ;c 证 中心 A认
Th De i n n Re e r h f e s g a d s a c o CA Ba e o I t us o To e a c s d n n r in lr n e
L U Ku I n
(e r eto etn }o e/ ,ch- hn / tu fthog ,aag .2 5 1 。. .C/ ) Pp t n fec oc/ r tn h e su h / t o c l y T/n am / r/ I m o f / /g st e e no c 1 4 1P 毪 ha h
CA的定义和作用
CA的定义和作用CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得第三者不能伪造和篡改证书。
它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。
为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。
数字证书管理中心是保证电子商务安全的基础设施。
它负责电子证书的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。
CA为电子商务服务的证书中心,是PKI(Public Key Infrastructure公开密钥基础结构)体系的核心。
它为客户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务。
它将客户的公钥与客户的名称及其他属性关联起来,为客户之间电子身份进行认证。
证书中心是一个具有权威性、可信赖性和公证性的第三方机构。
它是电子商务存在和发展的基础。
认证中心在密码管理方面的作用如下:1.自身密钥的产生、存储、备份/恢复、归档和销毁从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密钥对。
CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。
加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。
密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。
需要强调的是,根CA密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。
CA认证的应用
CA认证技术的实践与应用1.CA认证机构所谓认证中心,也称为数字证书认证中心,英文为CertificationAu鄄thority,简称CA。
是基于国际互联网平台建立的一个公正、独立、有权威性、广受信赖的组织机构,主要负责数字证书的发行、管理及认证服务,以保证网上业务安全可靠地进行。
一般而言,CA认证体系由证书审批部门和证书操作部门组成。
证书审批部门(registryauthority.RA)作为电子商务交易中受信任的第三方,承担公钥的合法性检验的责任。
它负责对证书申请者进行资格审查,决定申请者是否有资格获得证书,并承担为不符合资格的证书申请者发放证书所引起的一切后果,因此审核部门应由能够承担这些责任的机构负责。
证书操作部门(certificateprocessor.CP)为已授权的申请者制作、发放和管理证书。
并承担因操作不当所产生的一切后果。
包括失密和为没有获得授权者发放证书等。
它可以由审核部门自己担任,也可委托第三方担任。
一般CA认证中心具有六项基本功能:证书发放功能,证书查询功能,证书更新功能,证书吊销功能,制定相关政策功能,保护数字证书安全功能。
(二)我国CA认证机构的现状与发展电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。
从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统起,目前我国已有140多家CA认证机构。
但大都不具备合法身份。
从2004年8月8日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA机构已有22家。
其中一些行业建成了自己的一套CA体系,如中国金融认证中心(CFCA)、中国电信CA安全认证系统(CTCA)等;还有一些地区建立了区域性的CA体系,如北京数字证书认证中心(BJCA)、上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。
上海市CA证书服务网点
招商服务中心
杨浦区黄兴路2022号2楼数字证书窗口
周一至周五
上午8:30-11:30下午13:30-17:00(节假日除外)
夏令时(6月-9月):
周一至周五
上午8:30-11:30下午14:00-17:00(节假日除外)
闸北区
行政服务中心
闸北区秣陵路38号2楼数字证书窗口
周一至周五
上午8:30-11:30?下午13:30-17:00(节假日除外)
周一至周五
上午8:30-11:00下午13:00-16:30(节假日除外)
静安区
企业服务中心
胶州路58号数字证书窗口
周一至周四上午9:00-11:30下午13:30-16:30
周五上午9:00-11:30下午13:30-15:00(节假日除外)
夏令时(6月-9月):
周一至周四上午9:00-11:30下午14:00-16:30
周一至周五
上午8:30-11:30下午13:00-16:30(节假日除外)
徐汇区
徐汇区服务中心
龙漕路200弄29号413室(靠近远大心胸医院)
周一至周五
上午9:00-11:30下午13:00-16:30(节假日除外)
长宁区
招商服务中心
长宁区长宁路1436号数字证书窗口
周一至周五上午8:30-11:30下午13:30-16:30(节假日除外)
青浦区
行政服务中心
青浦区外青松公路6189号2楼数字证书窗口
周一至周五
上午8:30-11:30下午13:30-17:00 (节假日除外)
奉贤区
投资管理服务中心
奉贤区解放东路58号数字证书窗口
周一至周五
上午8:30-11:30下午13:00-17:00(节假日除外)
CA中心KPI管理解决方案
1.1. 数字认证设计1.1.1.数字证书系统建设要点基于CA认证技术的数字证书可以成功地解决网上用户身份识别、数据传递的安全性、完整性、不可抵赖性等安全问题,为电子政务和办公自动化提供了可靠安全的保障。
为了确保系统的安全性,使用政府认可的权威CA中心的数字证书,企业的网上商业活动才能收到法律的保护。
本文以我们在XXXXXXXXXXXX项目中实施的数字认证服务为例,描述数字认证服务的基本要点,尤其是几种运营模式的比较。
通过采用证书与应用系统的无缝集成,为XXXXXXXXXXXX提供了如下安全保障功能:身份认证,资格认证,保密性,完整性、不可抵赖性和信息的追认功能。
另外,通过安全代理软件将安全强度提升到全球公认的标准。
为了建立一套标准的时间,CA系统引进了时间戳来为网上报税系统提供完整的时间认定功能,避免在交易中出现由于时间带来的纠纷。
采用PKI技术后,XXXXXXXXXXXX系统将得到足够的安全保障,将传统上的申报征收系统延伸到Internet上,为客户提供更为方便、安全的审批申请手段。
在XXXXXXXXXXXX中,有些功能是面向全社会公开发布的,它并不需要证书来保护,如:主页信息、办事指南等,而有一些功能则需要由证书来保护,如:申报业务受理系统、网上缴税。
因此,可利用J2EE Application Server 提供的安全机制,对一站式服务系统的模块进行配置,使一个应用能处理多种安全要求。
通过配置需要保护的应用来保证需要访问该功能的用户必须通过认证,而其他不需要安全保护的用户则没有此限制。
当用户登陆门户应用系统时,服务器端安全代理首先判断是否有证书,如果没有,则拒绝访问;如果有,判断用户证书是否合法或是否仍然有效,如果合法,则自动读取用户唯一的证书甑别名DN,然后查询用户信息(证书甑别名DN应与用户代码一致),判断用户是否是已注册的合法用户。
如果是,则接收该用户的证书,准备对发送给用户的机密信息进行加密;如果建立的通道是双方认证的话,则用户端安全代理软件也进行同样的步骤来验证服务器的身份和获取服务器端的证书。
基于入侵容忍的CA认证中心设计
性和调整 的研究 。通常将这 两种容忍技术合并在 一起进行 系 统设计 , 并按照危害的后果而不是原 因进行分类( 入侵检测 系
统是按照危害 的原 因而不是 后果进行 分类的) ,此时将该 系统 称为入侵容忍 统 。
洞。假设攻 击者利用了漏洞并控制 了系 统是 比较合理 的。在 有这样攻击的情况下保证保密性并保持可 以接受 的服务性能
述了基 于入侵容忍 C A认证中心的体系结构 、各组件 间的相互作 用、基于入侵容 忍的 C A签名 方案及 整个系统的工作过程 。针对 系统的不
足之处 ,指 出了未来工作 中需要 改进的地方 。
关键词 :P I A;入侵容 忍 ;数字签名 K ;C
CA sg s d o n r so o e a c De i n Ba e n I t u i n T l r n e
容忍技术包括错误容 忍和入侵容忍两个方面 ,其 中错误容 忍 主要集中在对硬件/ 软件错误的容忍 , 入侵容 忍则集 中在对 而 恶意攻击 的容 忍。入侵 容忍是在错误容忍 的基础 上发展起来
的,主要是对静态属性 和调整研究 的基础上增加 了对动态属
安全的认证 中心 C ( et i t A toi ) C A C rf ae uh ry , A是 当前 网络 安 ic t 全领 域研 究的热点之一 ,其实现具有重 大的实用价值 和社会
维普资讯
第 3 卷 第 1 期 3 1
VL 3 o3
・
计
算
机
工
程
20 0 7年 6月
J ne2 0 u 0 7
NoJ .J
Co put rEng ne rng m e i ei
基于ejbca搭建自己的CA认证中心之ejbca安装配置指南
基于EJBCA搭建自己的CA认证中心之EJBCA安装配置指南出家如初,成佛有余目 录1. 概述 (3)2. 软件环境 (3)3. EJBCA基本架构 (4)4. EJBCA的部署模式 (4)5. JDK安装 (5)6. Java(TM) Cryptography Extension (JCE)安装 (5)7. ANT安装 (6)8. Jboss安装 (7)9. Mysql安装配置 (8)10. 环境变量配置 (8)11. EJBCA安装配置 (9)12. 导入p12格式的证书说明 (10)1.概述PKI(Public Key Infrastructure ) 即"公钥基础设施"较好地解决了Web 应用中的机密性、完整性、真实性和抗否认性等安全问题。
但在Web 环境下,还必须证明公钥与其持有者之间的映射关系,并认证密钥持有者的身份。
数字证书很好地解决了这个问题。
同样,在分布式环境下,还应该建立起安全、有效的证书管理机制,实现证书的生成、存储、分发、吊销等操作,从而为Web 应用乃至网络通信提供必要的密钥和证书服务。
公钥基础设施PKI 就是这样的一种提供安全服务的基础设施。
PKI 的核心是对证书及其公/私钥对的管理。
同时,PKI 也代表着一种分布式的信任模型关系,它首先要选择或定义证书格式及其操作过程,其次需要明确证书签发机构或个人之间的信任关系。
EJBCA就是这样一个针对PKI证书体系企业级的开源解决方案。
它基于J2EE技术,提供了一个强大的、高性能并基于组件的CA体系。
EJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序集成。
2.软件环境操作系统:Centos 5.4数据库:mysql 5.0JDK:jdk 1.6EJBCA:ejbca 3.9.3ANT: ant 1.7.1JBOSS:jboss 4.2.3约定ejbca及相关软件都安装在/opt/目录下。
基于ejbca搭建自己的CA认证中心之ejbca安装配置指南
基于EJBCA搭建自己的CA认证中心之EJBCA安装配置指南出家如初,成佛有余目 录1. 概述 (3)2. 软件环境 (3)3. EJBCA基本架构 (4)4. EJBCA的部署模式 (4)5. JDK安装 (5)6. Java(TM) Cryptography Extension (JCE)安装 (5)7. ANT安装 (6)8. Jboss安装 (7)9. Mysql安装配置 (8)10. 环境变量配置 (8)11. EJBCA安装配置 (9)12. 导入p12格式的证书说明 (10)1.概述PKI(Public Key Infrastructure ) 即"公钥基础设施"较好地解决了Web 应用中的机密性、完整性、真实性和抗否认性等安全问题。
但在Web 环境下,还必须证明公钥与其持有者之间的映射关系,并认证密钥持有者的身份。
数字证书很好地解决了这个问题。
同样,在分布式环境下,还应该建立起安全、有效的证书管理机制,实现证书的生成、存储、分发、吊销等操作,从而为Web 应用乃至网络通信提供必要的密钥和证书服务。
公钥基础设施PKI 就是这样的一种提供安全服务的基础设施。
PKI 的核心是对证书及其公/私钥对的管理。
同时,PKI 也代表着一种分布式的信任模型关系,它首先要选择或定义证书格式及其操作过程,其次需要明确证书签发机构或个人之间的信任关系。
EJBCA就是这样一个针对PKI证书体系企业级的开源解决方案。
它基于J2EE技术,提供了一个强大的、高性能并基于组件的CA体系。
EJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序集成。
2.软件环境操作系统:Centos 5.4数据库:mysql 5.0JDK:jdk 1.6EJBCA:ejbca 3.9.3ANT: ant 1.7.1JBOSS:jboss 4.2.3约定ejbca及相关软件都安装在/opt/目录下。
认证中心(CA)
❖ CA简介 ❖ CA的技术基础 ❖ CA的功能 ❖ CA的组成框架与数字证书的申请流程
互联网应用存在信息安全隐患
? 假冒的用户
用户
? 假冒的站点
网上应用系统服务器
数据库
如何确认彼此的身份?
在传统的商务中,用来认证商家或客户真实身份的认证证书大多是被 认为公正的第三方机构(如政府部门)颁发的。
❖ 在加/解密时,分别使用了两个不同的密钥:一个可对外界公 开,称为“公钥”;一个只有所有者知道,称为“私钥”。
❖ 用公钥加密的信息只能用相应的私钥解密,反之亦然。 ❖ 同时,要想由一个密钥推知另一个密钥,在计算上是不可能
的。
非对称密码算法
❖ 优点
通信双方事先不需要通过保密信道交换密钥。 密钥持有量大大减少。 非对称密码技术还提供了对称密码技术无法或很难提
❖ 1997年,LDAP第3版本成为互联网标准。目前,LDAP v3 已经在PKI体系中被广泛应用于证书信息发布、CRL信息发 布、CA政策以及与信息发布相关的各个方面。
❖ LDAP不是数据库而是用来访问存储在信息目录(也就是 LDAP目录)中的信息的协议。LDAP主要是优化数据读取 的性能。
OCSP
证书的申请流程
一、用户带相关证明到正是业务受理中心RS申请证书; 二、用户在线填写证书申请表格和证书申请协议书; 三、RS业务人员取得用户申请数据后,与RA中心联系,要求
用户身份认证; 四、RA下属的业务受理点审核员通过离线方式(面对面)审核
申请者的身份、能力和信誉等; 五、审核通过后,RA中心向CA中心转发证书的申请要求; 六、CA中心响应RA中心的证书请求,为该用户制作、签发证
推荐站点
❖ 中国PKI论坛 /
简述ca认证中心的工作内容
CA认证中心的工作内容什么是CA认证中心?CA认证中心(Certificate Authority)是网络安全领域中的一种实体机构,负责为数字证书的申请者颁发和管理数字证书,确保数字证书的可信度和有效性。
CA认证中心的工作是保证数字证书的真实性、完整性和安全性。
CA认证中心的工作职责CA认证中心的主要工作职责包括:1.颁发数字证书:CA认证中心负责对申请者的身份进行验证,并根据验证结果颁发数字证书。
数字证书是一种包含了申请者公钥等信息,并经CA数字签名认证的文件。
2.管理证书资源:CA认证中心需要管理自己颁发的所有数字证书,并保证证书的安全可靠。
例如,可以建立证书撤销列表(CRL)以及在线证书状态协议(OCSP)服务,提供证书的撤销和验证功能。
3.证书吊销与更新:当某个数字证书的私钥泄露、证书的有效期过期或申请者的身份发生变化时,CA认证中心负责吊销相应的数字证书,防止证书被非法使用。
同时,对于有效期即将到期的数字证书,CA认证中心还需要提醒申请者进行证书的更新。
4.安全审计与风险评估:CA认证中心需要定期进行审计和评估,确保自身的安全可靠性。
这包括对系统与网络进行漏洞扫描、安全策略制定与执行等。
同时,还需要评估数字证书的使用风险,及时发现并解决存在的安全隐患。
5.技术支持与解决方案:作为一个专业的机构,CA认证中心需要为用户提供专业的技术支持和解决方案。
用户在使用数字证书时,可能会遇到各种问题,CA认证中心需要及时回应用户的需求,并提供合适的解决方案。
CA认证中心的工作流程CA认证中心的工作流程大致包括以下几个步骤:1.身份验证:申请者在申请数字证书之前,需要通过身份验证。
这包括提供相关的个人或组织证明文件,并进行实名认证。
CA认证中心会对这些证据进行审查,确保申请者的身份真实可靠。
2.证书申请:申请者通过在线系统或其他方式向CA认证中心提交数字证书的申请。
申请中需要包括公钥、个人或组织信息等内容。
基于数字校园的CA认证中心的设计与实现
输 中的 数 据进 行 加 密和识 别 , 证 了信 息传 输 的机 密性 、 实性 、 保 真 完整 性 和 不 可 抵 赖 性 。本 文主 要 介 绍 了一套
户都可 以改变 自己的教学实例 和服务实例 。这些改变并
不 影 响整 个 系 统 。 于业 务 来 说 , 台通 过媒 体 链 路 和 交 对 平
互 技术 协 议 提 供 适配 和 转 换 , 障媒 体 信 息投 递 的路 由 , 保 可 以 使业 务 需 求 得 到更 灵 活 和 快速 的响 应 。
录 。 录之 后 , 用 Uky提供 的 g n rtKeP i 接 1 在 登 调 e e eae y ar 3, Ub e s K y中创 建 公 私 钥 对 .然 后 调 用 lgu 退 出 。gn r oo t e e.
图 1 C 签 发 用户 证 书流 程 A
ae y ar 口需 要 提供 的参 数有 : tKeP i接
用 中 . 种模 式 会 得 到不 断 完 善 。 ⑧ 这
参考文献:
f] vdK r( . rie Or ne rhtcu eCo — 1Dai ar 美) evc— i tdA c i tr: n S e e cp ̄ c n lg ,n s n [ .rnie lP 1 0 5 e tTeh oo y adDei ; P e t l TK 2 0 . g M] c Ha
三、 认证 中心 CA 的设 计 1CA 中心 准 备 工作 .
R 提 供 的用 户 信 息 包 括 要 创 建 证 书 的 序 列 号 , A 在
CA认证中心
典型的PKI体系结构——3 认证中心CA
CA是认证中心,具备有限的政策制定功能,按照上级PCA 制定政策,具体的用户公钥证书的签发、生成和发布及CRL 生成及发布。具体功能包括:
发布本地CA对PCA政策的增补部分; 对下属各成员进行身份认证和鉴别; 产生和管理下属证书; 发布自身证书和上级证书; 证实ORA的证书申请请求; 向ORA返回证书制作的确认信息或返回已制定 好的证
证书的请求;密钥泄漏的报告;证书中包括的某种关系的中止等等。
12.存档
——出于政府和法律的要求以及系统恢复的需要,CA产生的证书和 CRL应被归档,作历史文件保存。 另外有关文件和审计信息出于调 整或法规的规定也需要存档。
PKI体系的互通性(互操作性)
1.交叉认证方式
需要互通的PKI体系中的PAA在经过协商和政策制定之后,可 以互相认证对方系统中的PAA(即根CA)。 认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA 的公钥签发证书。
——密钥的产生和模长 ——对PCA、CA、ORA系统的安全控制 ——CRL的发布频率 ——审计程序
对下属各成员进行身份认证和鉴别; 产生和管理下属成员的公钥; 发布PAA和自己的证书到下属成员; 定义证书作废请求生效所需的信息和程序; 接收和认证对它所签发的证书的作废申请请求; 为它所签发的证书产生CRL; 保存证书、CRL、审计信息和它所签发的政策;
1.产生、验证和分发密钥 ——用户自己产生密钥对: ——CA为用户产生密钥对: ——CA(包括PAA、PCA、CA)自己产生自己的密钥对
2.签名和验证
——PKI成员对数字签名和认证是采用多种算法的,如RSA、DES等等, 这些算法可以由硬件、软件或硬软结合的加密模块(固件)来完成。
深圳CA介绍
深圳CA介绍
1.深圳CA简介
深圳CA,全称深圳市电子证书认证中心(SZCA,Shenzhen Certificate Authority ),经深圳市信息办和深圳市国密办批准,于2000年8月正式成立,并依照《中华人民共和国电子签名法》和《电子认证服务机构管理办法》,具有工业和信息化部颁发的《电子认证服务许可证》和由国家密码管理局颁发的《电子认证服务使用密码许可证》,为深圳市的电子政务建设和电子商务活动提供统一的安全认证基础设施,和统一的标准运营服务体系。
1999年11月国密办批准,同意建立深圳电子商务证书认证中心和密钥管理中心,2000年市编办批复市电子商务中心加挂“深圳市电子商务证书认证中心”牌子。
2001年公司的证书认证系统通过国密办的安全性审查;2003年市编办将深圳市电子商务证书认证中心更名为:深圳市电子证书认证中心;
2005年,随着《电子签名法》的颁布和实施,为更好地为用户提供具有法律保障的权威认证服务,适应新形势下的信息安全需求,公司将原有的系统进行全面的升级改造。
2006年6月,改造后的新系统通过了国家密码管理局的安全性审查,并于同年8月获得国家密码管理局颁发的《电子认证服务使用密码许可证》。
2007年,经过信息产业部对SZCA的运营服务全面严格的审查,于2007年10月获得由工业和信息化部颁发的《电子认证服务许可证》。
从而使深圳CA的法律地位得到了确立,保障了深圳CA提供的第三方电子认证服务的法律有效性,并为用户使用深圳CA的电子签名等电子认证服务提供了法律保证。
ca认证中心
ca认证中心CA认证中心一、概述CA认证中心(Certification Authority)是一个可信赖的第三方机构,负责颁发和管理数字证书。
数字证书是用于加密和认证数据的一种加密技术,在网络通信、电子商务和电子政务等领域广泛应用。
CA认证中心是数字证书的签发机构,监管和验证数字证书的合法性和有效性,确保其安全可靠。
二、CA认证中心的作用1. 数字证书颁发:CA认证中心负责颁发数字证书给申请者,该证书包含了证书的所有者的公开密钥、证书的有效期和CA认证中心的数字签名等信息。
2. 数字证书验证:CA认证中心通过验证申请者的身份信息,并为其签发数字证书。
该证书能够确保数据的完整性、保密性和真实性,同时也能对数据进行数字签名,以防止被篡改。
3. 密钥管理:CA认证中心负责生成、分发和注销公开密钥,确保其安全性和可靠性。
同时,CA认证中心也负责更新和维护密钥库,以保证密钥的有效性和安全性。
4. 数字证书吊销:如果数字证书持有者的私钥遗失或泄露,CA认证中心可以吊销该数字证书,以保证数字证书的安全性和有效性。
三、CA认证中心的工作流程1. 申请数字证书:申请者向CA认证中心提交申请,并提供必要的身份证明材料和公开密钥等信息。
2. 身份验证:CA认证中心对申请者进行身份验证,确保其身份的真实性和合法性。
3. 证书签发:如果身份验证通过,CA认证中心会为申请者签发数字证书。
该数字证书包含了申请者的公开密钥、证书的有效期和CA 认证中心的数字签名等信息。
4. 证书分发和验证:CA认证中心将签发的数字证书分发给申请者,并将其存储在公共证书库中。
同时,其他用户可以通过验证数字证书的数字签名和证书链的完整性来验证数字证书的有效性和合法性。
5. 密钥管理和证书更新:CA认证中心负责生成、分发,以及更新和维护公开密钥和数字证书的库,以保证其有效性和安全性。
6. 数字证书吊销:如果数字证书持有者的私钥遗失或泄露,CA认证中心可以吊销该数字证书,并将该信息发布到证书吊销列表中,以保证数字证书的安全性和有效性。
CA认证以及https的实现
CA认证以及https的实现(1).CA认证 CA全称Certificate Authority,通常翻译成认证权威或者认证中⼼,主要⽤途是为⽤户发放数字证书。
认证中⼼(CA)的功能:证书发放、证书更新、证书撤销和证书验证。
CA证书的作⽤:⾝份认证,实现数据的不可否认性。
CSR全称Cerificate Signing Request,中⽂名证书请求⽂件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在⽣成私钥的同时也⽣成证书请求⽂件,证书申请者只要把CSR⽂件提交给证书颁发机构后,证书颁发机构使⽤其根证书的私钥签名就⽣成了证书⽂件,也就是颁发给⽤户的证书。
证书签名过程:1、服务器⽣成证书请求⽂件;2、认证中⼼确认申请者的⾝份真实性;3、认证中学使⽤根证书的私钥加密证书请求⽂件,⽣成证书;4、把证书传给申请者。
1)实验环境youxi1 192.168.5.101 CA认证中⼼youxi2 192.168.5.102 服务器 2)由于没有真实域名,所以⾃⼰搭建⼀个CA认证中⼼,实际只要去申请⼀个就好了。
[root@youxi1 ~]# rpm -qf `which openssl`openssl-1.0.2k-12.el7.x86_64 //openssl⼀般默认安装的[root@youxi1 ~]# vim /etc/pki/tls/fbasicConstraints=CA:TRUE //第172⾏,让当前服务器成为CA认证中⼼[root@youxi1 ~]# /etc/pki/tls/misc/CA -newca //新的CAche证书CA certificate filename (or enter to create) //证书⽂件名,可以直接回车Making CA certificate ...Generating a 2048 bit RSA private key................................+++ ...................................................................+++writing new private key to '/etc/pki/CA/private/./cakey.pem'Enter PEM pass phrase: //保护私钥的密码,123456Verifying - Enter PEM pass phrase: //重复密码,123456-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CN //国家,只能2个字符State or Province Name (full name) []:beijing //地区Locality Name (eg, city) [Default City]:haidian //城市Organization Name (eg, company) [Default Company Ltd]:test //组织名称,公司Organizational Unit Name (eg, section) []:IT //部门Common Name (eg, your name or your server's hostname) []: //通⽤名,名字或服务器主机名等Email Address []:test@ //邮箱Please enter the following 'extra' attributesto be sent with your certificate request //添加⼀个额外属性,让客户端发送CA证书请求⽂件时,要输⼊的密码A challenge password []: //直接回车An optional company name []: //回车Using configuration from /etc/pki/tls/f //CA服务器的配置⽂件,上⾯修改的内容会添加到该配置⽂件中Enter pass phrase for /etc/pki/CA/private/./cakey.pem: //输⼊私钥密码,123456Check that the request matches the signatureSignature okCertificate Details:Serial Number:af:e0:dd:ca:39:32:8e:56ValidityNot Before: Aug 15 07:30:27 2019 GMTNot After : Aug 14 07:30:27 2022 GMTSubject:countryName = CNstateOrProvinceName = beijingorganizationName = testorganizationalUnitName = ITcommonName = emailAddress = test@X509v3 extensions:X509v3 Subject Key Identifier:08:F1:6F:02:F1:A0:BD:71:1E:DF:F5:D1:F3:7B:40:05:3A:02:B5:7CX509v3 Authority Key Identifier:keyid:08:F1:6F:02:F1:A0:BD:71:1E:DF:F5:D1:F3:7B:40:05:3A:02:B5:7CX509v3 Basic Constraints:CA:TRUECertificate is to be certified until Aug 14 07:30:27 2022 GMT (1095 days)Write out database with 1 new entriesData Base Updated //搭建完成[root@youxi1 ~]# cat /etc/pki/CA/cacert.pemCertificate:Data:Version: 3 (0x2)Serial Number:af:e0:dd:ca:39:32:8e:56Signature Algorithm: sha256WithRSAEncryptionIssuer: C=CN, ST=beijing, O=test, OU=IT, CN=/emailAddress=test@ //CA机构信息ValidityNot Before: Aug 15 07:30:27 2019 GMTNot After : Aug 14 07:30:27 2022 GMTSubject: C=CN, ST=beijing, O=test, OU=IT, CN=/emailAddress=test@Subject Public Key Info: //CA认证中⼼公钥信息Public Key Algorithm: rsaEncryptionPublic-Key: (2048 bit)Modulus:00:f5:b0:8d:1f:fd:12:2b:7c:d4:6d:75:c1:da:3e:2c:92:87:22:1e:41:c9:21:bc:c7:bb:65:1f:1a:a4:46:7f:d0:0d:22:11:fc:bf:49:9a:2a:b9:56:9a:14:18:b9:6e:55:3b:06:25:49:80:38:58:1d:f8:89:62:e6:e5:09:6a:61:7c:e8:c7:bc:be:f1:7c:86:e3:de:1e:49:cf:6e:09:ac:cb:5a:58:f3:62:71:c7:05:4e:5a:d7:ab:bb:03:35:49:f1:81:07:7b:82:99:75:a6:28:c7:6d:aa:88:7b:82:d8:ac:ee:e7:e4:28:aa:8d:e6:62:45:b9:6a:5a:49:49:40:65:e7:2f:69:d8:48:2f:cb:a3:c3:01:af:b5:8e:0f:b5:68:0a:7b:64:4b:6a:46:58:d6:f2:4d:02:51:ea:5c:4c:38:70:38:b6:5d:fd:d7:da:af:3c:99:46:cb:40:02:7f:4d:a8:30:98:4c:72:fd:80:7d:13:f5:42:6b:dd:3d:52:02:4b:c2:6f:eb:5c:ca:63:76:1f:b4:5a:6c:e5:0c:fb:bc:b6:32:44:d7:c4:7d:8a:6b:3f:58:56:9b:72:fd:74:66:d9:a2:43:36:5c:a5:ea:91:49:07:14:a4:51:a8:bb:94:9b:5d:72:1d:01:7e:89:eb:f5:ec:2b:3e:f5:73:21Exponent: 65537 (0x10001)X509v3 extensions:X509v3 Subject Key Identifier:08:F1:6F:02:F1:A0:BD:71:1E:DF:F5:D1:F3:7B:40:05:3A:02:B5:7CX509v3 Authority Key Identifier:keyid:08:F1:6F:02:F1:A0:BD:71:1E:DF:F5:D1:F3:7B:40:05:3A:02:B5:7CX509v3 Basic Constraints:CA:TRUESignature Algorithm: sha256WithRSAEncryption3d:c4:ae:3d:ee:22:c7:ff:e7:c2:54:9d:b1:f5:4b:a4:c9:46:58:ec:e7:50:d8:48:66:39:8e:99:12:1b:f0:0a:37:86:03:61:8d:21:dc:26:ca:48:9b:43:82:4a:fa:4f:ff:fb:04:66:ee:b2:0f:44:63:e8:fc:d2:49:26:2a:4c:8a:3b:98:56:e5:86:70:3e:b8:5b:be:91:e5:b5:8a:6b:1f:00:bc:15:b8:91:b4:66:ad:bf:fe:1b:2e:83:3a:5e:6f:df:c5:96:38:8a:ba:b8:be:37:e7:2b:77:e7:af:a8:c7:84:a8:09:0b:1a:b0:43:2d:c2:ae:56:8c:81:09:d3:c0:52:63:e9:ec:04:f1:4e:23:c9:eb:16:36:7c:56:4f:d3:11:06:a9:1c:27:b8:ed:84:04:7a:77:56:ca:8b:f2:1a:42:c1:2f:8c:8d:06:ea:15:e5:08:d9:35:cb:c4:f1:c9:6a:f5:8b:7e:be:46:71:2e:56:00:e7:c4:fe:18:98:cf:72:16:bd:da:fb:b3:9b:03:fc:3c:e4:43:74:04:20:cf:7d:9f:6c:dd:76:bf:8c:b7:e0:44:8a:2a:d7:c5:60:82:c9:cb:1d:80:5b:d1:de:04:d6:dc:19:5a:aa:a9:1b:9d:d6:ed:d1:81:6d:68:10:90:e0:b5:7b:e7:b6:64:42-----BEGIN CERTIFICATE----- //私钥MIIDpTCCAo2gAwIBAgIJAK/g3co5Mo5WMA0GCSqGSIb3DQEBCwUAMGkxCzAJBgNV BAYTAkNOMRAwDgYDVQQIDAdiZWlqaW5nMQ0wCwYDVQQKDAR0ZXN0MQswCQYDVQQL DAJJVDEQMA4GA1UEAwwHdGVzdC5jbjEaMBgGCSqGSIb3DQEJARYLdGVzdEBxcS5jb20wHhcNMTkwODE1MDczMDI3WhcNMjIwODE0MDczMDI3WjBpMQswCQYDVQQGEwJD TjEQMA4GA1UECAwHYmVpamluZzENMAsGA1UECgwEdGVzdDELMAkGA1UECwwCSVQx EDAOBgNVBAMMB3Rlc3QuY24xGjAYBgkqhkiG9w0BCQEWC3Rlc3RAcXEuY29tMIIB IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA9bCNH/0SK3zUbXXB2j4skociHkHJIbzHu2UfGqRGf9ANIhH8v0maKrlWmhQYuW5VOwYlSYA4WB34iWLm5QlqYXzox7y+8XyG494eSc9uCazLWljzYnHHBU5a16u7AzVJ8YEHe4KZdaYox22qiHuC2Kzu5+Qoqo3mYkW5alpJSUBl5y9p2Egvy6PDAa+1jg+1aAp7ZEtqRljW8k0CUepcTDhwOLZd/dfarzyZRstAAn9NqDCYTHL9gH0T9UJr3T1SAkvCb+tcymN2H7RabOUM+7y2MkTXxH2Kaz9YVpty/XRm2aJDNlyl6pFJBxSkUai7lJtdch0Bfonr9ewrPvVzIQIDAQABo1AwTjAdBgNVHQ4EFgQUCPFvAvGgvXEe3/XR83tABToCtXwwHwYDVR0jBBgw FoAUCPFvAvGgvXEe3/XR83tABToCtXwwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0B AQsFAAOCAQEAPcSuPe4ix//nwlSdsfVLpMlGWOznUNhIZjmOmRIb8Ao3hgNhjSHcJspIm0OCSvpP//sEZu6yD0Rj6PzSSSYqTIo7mFblhnA+uFu+keW1imsfALwVuJG0Zq2//hsugzpeb9/FljiKuri+N+crd+evqMeEqAkLGrBDLcKuVoyBCdPAUmPp7ATxTiPJ6xY2fFZP0xEGqRwnuO2EBHp3VsqL8hpCwS+MjQbqFeUI2TXLxPHJavWLfr5GcS5WAOfE/hiYz3IWvdr7s5sD/DzkQ3QEIM99n2zddr+Mt+BEiirXxWCCycsdgFvR3gTW3Blaqqkbndbt0YFtaBCQ4LV757ZkQg==-----END CERTIFICATE----- 说明:/etc/pki/tls/misc/CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify -newcert 新证书 -newreq 新请求 -newreq-nodes 新请求节点 -newca 新的CA证书 -sign 签证 -verify 验证(2).Apache实现https 准备⼀个httpd,需要包含ssl模块[root@youxi2 ~]# yum -y install httpd mod_ssl[root@youxi2 ~]# vim /etc/httpd/conf/httpd.confServerName 192.168.5.102:80 //第95⾏[root@youxi2 ~]# systemctl start httpd.service[root@youxi2 ~]# firewall-cmd --permanent --zone=public --add-port=80/tcpsuccess[root@youxi2 ~]# firewall-cmd --reloadsuccess ⽣成证书请求⽂件,并发给CA认证中⼼youxi1//-des3使⽤des3加密算法;-out输出到指定地址[root@youxi2 ~]# openssl genrsa -des3 -out /etc/httpd/conf.d/server.keyGenerating RSA private key, 2048 bit long modulus ................................................................................................+++....................+++e is 65537 (0x10001)Enter pass phrase for /etc/httpd/conf.d/server.key: //输⼊保护私钥的密码,123456Verifying - Enter pass phrase for /etc/httpd/conf.d/server.key: //重复密码//-key指定私钥[root@youxi2 ~]# openssl req -new -key /etc/httpd/conf.d/server.key -out /server.csrEnter pass phrase for /etc/httpd/conf.d/server.key: //输⼊保护私钥的密码(/etc/httpd/conf.d/server.key的),123456You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----//通⽤名不能和CA⼀样,⼀般写域名Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:beijingLocality Name (eg, city) [Default City]:haidianOrganization Name (eg, company) [Default Company Ltd]:testOrganizational Unit Name (eg, section) []:ITCommon Name (eg, your name or your server's hostname) []:Email Address []:test@Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []: //回车An optional company name []: //回车[root@youxi2 ~]# scp /server.csr 192.168.5.101:/ //发给CA认证中⼼root@192.168.5.101's password:server.csr 100% 1029 127.4KB/s 00:00 CAche认证中⼼进⾏签名,再回传[root@youxi1 ~]# openssl ca -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -in /server.csr -out /server.crt Using configuration from /etc/pki/tls/fEnter pass phrase for /etc/pki/CA/private/cakey.pem: //cakey.pem的保护私钥的密码,123456Check that the request matches the signatureSignature okCertificate Details:Serial Number:af:e0:dd:ca:39:32:8e:57ValidityNot Before: Aug 15 08:45:17 2019 GMTNot After : Aug 14 08:45:17 2020 GMTSubject:countryName = CNstateOrProvinceName = beijingorganizationName = testorganizationalUnitName = ITcommonName = emailAddress = test@X509v3 extensions:X509v3 Basic Constraints:CA:TRUENetscape Comment:OpenSSL Generated CertificateX509v3 Subject Key Identifier:B3:F5:B0:FE:43:AC:44:C9:7F:C6:B5:6F:5C:EA:B8:D1:04:36:1E:40X509v3 Authority Key Identifier:keyid:08:F1:6F:02:F1:A0:BD:71:1E:DF:F5:D1:F3:7B:40:05:3A:02:B5:7C Certificate is to be certified until Aug 14 08:45:17 2020 GMT (365 days)Sign the certificate? [y/n]:y1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base Updated[root@youxi1 ~]# scp /server.crt 192.168.5.102:/ //回传给服务器root@192.168.5.102's password:server.crt 100% 4547 1.8MB/s 00:00 配置Apache加载证书⽂件[root@youxi2 ~]# cp /server.crt /etc/httpd/conf.d/[root@youxi2 ~]# vim /etc/httpd/conf.d/ssl.confSSLCertificateFile /etc/httpd/conf.d/server.crt //第100⾏,签名证书SSLCertificateKeyFile /etc/httpd/conf.d/server.key/ /第107⾏,私钥[root@youxi2 ~]# systemctl restart httpdEnter SSL pass phrase for 192.168.5.102:443 (RSA) : ******[root@youxi2 ~]# yum -y install net-tools.x86_64[root@youxi2 ~]# netstat -antup | grep 443 //查看443端⼝tcp6 0 0 :::443 :::* LISTEN 2126/httpd[root@youxi2 ~]# firewall-cmd --permanent --zone=public --add-port=443/tcp success[root@youxi2 ~]# firewall-cmd --reloadsuccess 最后使⽤Windows查看(3).nginx实现https 停掉Apache,安装nginx[root@youxi2 ~]# systemctl stop httpd[root@youxi2 ~]# netstat -antup | grep 443[root@youxi2 ~]# yum -y install nginx 配置nginx加载证书⽂件[root@youxi2 ~]# vim /etc/nginx/conf.d/default.confserver {listen 443 ssl;keepalive_timeout 70;location / {root /usr/share/nginx/html;index index.html index.htm;}ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL⽀持的版本ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;ssl_certificate /etc/httpd/conf.d/server.crt;ssl_certificate_key /etc/httpd/conf.d/server.key;ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;}[root@youxi2 ~]# nginx -tEnter PEM pass phrase:nginx: the configuration file /etc/nginx/nginx.conf syntax is oknginx: configuration file /etc/nginx/nginx.conf test is successful[root@youxi2 ~]# nginxEnter PEM pass phrase:[root@youxi2 ~]# netstat -antup | grep 443tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 2436/nginx: master 最后在Windows上查看(4).SSL四次握⼿ SSL全称Secure Socket Layer,中⽂名安全套接字层,通过⼀种机制在互联⽹上提供密钥传输。
CA认证功能介绍
CA认证功能介绍发布日期:2008-12-30 11:38:25概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。
CA的核心功能就是发放和管理数字证书,具体描述如下:(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心为了实现其功能,主要由以下三部分组成:(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。
因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。
(2)证书申请受理和审核机构:负责证书的申请和审核。
它的主要功能是接受客户证书申请并进行审核。
(3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
CA认证简介为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。
数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。
该数字证书具有唯一性。
它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。
这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。
各级CA认证机构的存在组成了整个电子商务的信任链。
如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
整理的一些关于CA的资料
CA认证电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得攻击者不能伪造和篡改证书。
在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。
为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证,并负责管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
CA认证中心管理内容是什么.CA认证中心CA认证中心是一个负责发放和管理数字证书的权威机构。
认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
认证中心的主要功能:·证书的颁发·证书的更新·证书的查询·证书的作废·证书的归档2.数字签名数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。
数字签名提供了对信息来源的确定并能检测信息是否被篡改。
数字签名与数据加密完全独立。
数据可以既签名又加密,只签名,只加密,当然,也可以既不签名也不加密。
发送方计算出的签名和数据一起传送给接收方,签名值是关于发送方的私钥和要发送的信息的一个数学函数的值。
算法的构造保证如果不知道私钥的话就不可能计算出这个签名值。
接收方可以通过依赖发送方的公钥、签名值和接收到的数据的另一个数学算法来验证接收到的信息就是发送方签名的信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CA认证机构系统概况实验
第一章基础知识
1.1数字证书
定义
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
数字证书的原理
数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。
数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
1.2CA
相关定义
CA(Certificate Authority)认证中心,采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。
目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。
根证书
根证书,是指CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。
从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故
需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?答案就是根证书,根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。
所以说用户在使用自己的数字证书之前必须先下载根证书。
第二章CA认证中心
2.1中心简介
中国金融认证中心
中国金融认证中心(China Financial Certification Authority),简称CFCA,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。
上海认证中心
SHECA成立于1998年,是中国第一家专业的第三方网络安全和信任服务提供商,专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合,以其领先的技术和精湛的服务为客户提供信息安全整体解决方案与第三方服务。
2.2相关比较
2.2.1数字证书的种类
中国金融认证中心
上海认证中心
上海认证中心提供的数字证书主要有三类:个人证书、企业证书和其他证书。
2.2.2数字证书的申请条件、方式、过程比较
中国金融认证中心
上海认证中心
个人证书:证书申请者根据申请的证书种类,需提交内容完整的带个人手写签名或者加盖公章的申请表格。
同时,需要递交个人身份证明,如果是委托办理,需要同时递交申请人以及被委托人的上述材料。
单位/企业证书:申请者需要递交签字盖章的书面申请表、企事业单位组织机构代码证的原件以及复印件、申请者的营业执照原件、申请人的身份证明。
设备证书:包括安全站点证书以及设备身份证书,安全站点证书需要递交签字盖章的书面
申请表、申请者的身份证明材料原件以及复印件、域名或者ip地址的书面承诺书;设备身份证书则应递交签字盖章的书面申请表、申请者的身份证明材料原件以及复印件、应用服务器的归属性声明文件。
代码签名证书:分为个人代码签名证书以及企业代码签名证书,申请条件与个人证书以及单位企业证书申请条件一致。
2.2.3CA的体系结构或主要功能比较
中国金融认证中心
CFCA认证系统采用国际领先的PKI技术,总体为三层CA结构,第一层为根CA;第二层为政策CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。
运营CA由CA系统和证书注册审批机构(RA)两大部分组成。
上海认证中心
SHECA是依法设立的电子认证服务机构(CA),建设和运营协卡认证体系。
作为被信任的第三方,协卡认证体系内有多个可以签发证书的尸体,包括不同的跟CA和子CA,这些签发实体作为CA,均可发放证书。
通常,根CA只签发子CA 证书,子CA可签发最终用户证书或其他CA的证书。
协卡认证体系的CA为电子政务、电子商务和其他网络作业的各类参与方发放数字证书,保证公钥能与确定的柱体身份唯一相对应。
SHEA建立了完善的CA运行机制和严密的安全控制机制,独立生成密钥对,自主签发根CA证书(ROOT CA)。
SHECA更新根CA密钥对时,必须按照国家主管机构、法律和政策规定的程序,经过SHECA安全认证委员会的同意。
SHECA安全认证委员会作为SHEA数字证书的政策制定机构,将决定SHEA根CA和操作子CA密钥对的更新和切换的策略和行动。
2.2. 4采用的技术或方案比较
中国金融认证中心:
中国金融认证中心采用了PKI技术,数字证书,以及SSL(安全套套接层协议)。
网络拓扑结构:
上海认证中心
第三章我国CA认证系统发展中的问题
总体来说我国的CA发展主要面临以下的问题:
1.我国的CA认证业比较分散,群雄并起,缺乏主心骨,不利于我国CA认证行业的发展。
2.CA认证中心的技术基础差,CA的建立与运作需要强大的技术支撑。
目前我国国内的额CA认证技术主要靠自己研发,技术实现本身不够成熟。
另外一方面,用在CA相关产品购买上的开销仅仅是整个运营成本的一部分,配置、运行和维护一个认证系统所需的持续成本是巨大的。
3.信息安全领域的标准化、法律化不完善国内尚未出台统一的PKI标准或相关的管理规范,也没有一个明确的CA管理机构。
4.CA认证中心责任、义务不清当前有的公司在网上发放CA证书。
第四章证书选择
如过要我自己选择的话,我比较倾向于选择中国金融认证中心,因为中国金融认证中心是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构值得信赖。