(一)数字证书概念
(1)数字证书:也称公钥证书,是由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。
(2)PKI(Public Key Infrastructure)公钥基础设施
(3)CA( Certificate Authority ):基于PKI技术建立的数字证书认证系统。提供数字证书的申请、审核、签发、查询、发布以及证书吊销等全生命周期的管理服务。
(二)数字证书分类
分类 | 说明 | |
1 | 按类别 | 个人证书、机构证书和设备证书 |
2 | 按用途 | 签名证书:证明签名公钥 |
加密证书:证明加密公钥 |
(三)产生流程
用户自行生成一对公私钥对,将公钥发送给CA,CA确认用户身份后,使用自身私钥对用户身份信息和公钥信息加密处理(签名)后形成数字证书。
(四)数字证书认证系统
主要部件:目录服务器、OCSP服务器、注册服务器、签发服务器等
(五)数字证书内容
通常遵循X.509标准
构成 | 说明 | |
1 | 版本号 | 指明证书的版本,以支持不同的特性和格式 |
2 | 序列号 | 由证书颁发机构(CA)赋予的唯一编号,用于标识每一个证书 |
3 | 签名算法标识符 | 指明CA用来对证书进行签名的算法 |
4 | 发行者名称 | CA的名称,标识出哪个CA颁发了该证书 |
5 | 有效期 | 包括证书生效日期和过期日期,标识该证书在何时是有效的 |
6 | 主体名称 | 持有证书的实体的名称或标识 |
7 | 主体公钥信息 | 包括主体的公钥及其算法标识符 |
8 | 可选扩展 | 根据需要可以包括一些扩展信息,比如使用限制(即该公钥的适用范围)、主体的备用名称等 |
9 | 签名 | 由CA使用其私钥生成的数字签名,用于验证证书内容的完整性和真实性。 |