目前的信息系統建設過程一般都要進行信息安全方面的考慮，目前主要的技術主要是證書認證技術。本文主要是對證書認證技術涉及的基礎知識進行整理。

本文将按照問答的形式進行講解。

1. 數字證書是什麼？

數字證書本質上是一些有效的信息（比如身份證号碼，組織機構編号等），以及為了實現加密和簽名，需要提前生成的公鑰和私鑰。因此數字證書在制作時需要提供持有證書人的個人（單位）信息，然後通過專業機構通過加密機進行密鑰的生成以及灌注。

1. 證書是任何人都可以發放的嗎？

當然不是。

證書必須由CA機構進行發放，而且CA機構也不是無限制的。一般來說：

CA機構隻有兩級，普通的IT企業不能随便的建立CA。

常見的CA機構比如：國家密鑰管理局CA認證服務。

1. 證書分類說明。

常見的分類有：

服務器證書，個人證書，其他擴展證書

服務器證書：被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。一般使用SSL技術。我們平常訪問網站時如果使用了Https來進行訪問，那麼訪問的服務器内部就使用了服務器證書。

個人證書：主要被用來進行身份驗證和電子簽名。一般有兩種方式，存放到USBkey中（硬證書）以及從證書服務器中下載（軟證書）。一般USBKey中存在兩套證書，分别用來進行加密和簽名。

需要注意的是：服務器證書是為了實現數據鍊路層的數據加密，如果實現數據訪問層的數據加密，需要在服務器中添加一個個人證書。

1. 上面提到的公鑰和私鑰是什麼？

要解決這個問題，首先明确數據加密的方式。一般來說有兩種：

對稱加密算法和非對稱加密算法。

對稱加密算法的原理：

非對稱加密算法的原理“

由于對稱加密算法相對不是很安全，目前大部分使用非對稱加密算法。

而在非對稱加密算法中，私鑰用來進行密文的解密，隻有一份，掌握在證書持有者手中。而公鑰可以有很多，分發到給證書持有者發送數據的人群中。

1. 上面提到的簽名和加密是什麼意思？

其實上面非對稱算法解決的基本問題就是加密問題。常見的應用場景是：客戶端和服務器之間的通訊加密，服務器和服務器之間的通訊加密。

客戶端和服務器之間的通訊加密：服務器需要有一份證書（包含私鑰），客戶端擁有該證書的公鑰，通過公鑰進行加密。

服務器和服務器之間的通訊加密：數據接受服務器中持有證書，數據發送服務器持有對方的公鑰。

那麼簽名是過程是什麼呢？看下圖：

上面兩個圖：一個是簽名過程，一個是簽名驗證過程。

通過上面兩個圖，你應該看明白了，簽名實際上也是使用了非對稱加密算法。

簽名現在一般有兩種模式：

1. 按照上圖模式中，要進行簽名認證需要傳遞三個内容：簽名，公鑰，以及電子文件。
2. 第二種模式，把簽名，公鑰，電子文件重新進行加工，變成一文件進行傳遞。

總結來說：

簽名解決的問題是防止對方抵賴的問題，因為數據加密的私鑰隻有證書持有者才會有。

加密解決的是數據防止明文被竊取以及被串改的問題，因為沒有私鑰就無法将密文進行解密。

注意：由于簽名需要傳遞明文才能進行簽名校驗，所以簽名過程不能解決明文被竊取的問題。

1. 如果在系統登錄的過程中使用證書技術，除了使用證書簽名之外，還有其他的校驗嗎？

有，除了通過簽名确認保證用戶的有效性外，服務器還對證書進行CRL（信任鍊）進行驗證，保證證書是合法的CA機構分發的，以及證書在有效期内。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!