簡要介紹一下CA
1.什麼是CA
CA是certification authorit的縮寫,即證書頌發機構,他是一個負責發放和維護證書的實體,一般是第三方的。
2.什麼是證書
證書就是數字化的文件,裏面有一個實體(網站,個人等)的公共密鑰和其他的屬性,如名稱、CA信息、加密算法等。該公共密鑰只屬於某一個特定的實體,它的作用是防止一個實體假裝成另外一個實體。
3.什麼是密鑰
密鑰是加密算法用於加密和解密的種子,通過特定的算法對數據進行處理。
4.加密算法都有哪些
加密算法主要分爲對稱加密和非對稱加密。
對稱加密是指雙方擁有相同的密鑰,用這個密鑰加密的也可以用這個密鑰解密。常見的有DES,DES3,RC4等
非對稱加密是指雙方使用不同的密鑰,分爲公鑰和私鑰,公鑰是發給別人,用於加密的,私鑰是留給自己用於把別人加密的東西解密的。公鑰和私鑰是嚴格成對的。常見的算法有RSA,DSA,DH等
除了這些加密算法一般還會提到叫散列算法的東東,這些算法不是用來加密的,而是把數據轉換成一些特定長度的較驗數據,用來檢驗原數據是否被篡改的。常見的有MD5,SHA,Base64,CRC等。
5.證書的作用
證書主要有兩個作用,一個是加密通信,一個是數字簽名。
加密通信是保證數據不被別人截獲並且不被知道通信內容的,主要是兩個層次,一個是通信雙方身份確認,避免對方是冒充的,另一個是數據通過公鑰加密傳輸和使用私鑰解密。這方面常見的具體應用就是SSL和HTTPS,比如說WebSphere的管理員登陸和一些重要的登陸操作。
數字簽名是用於識別簽名者身份的,這個從字面就可以理解。你使用你的私鑰進行簽名,然後用戶看到你的簽名後用公鑰檢查,發現的確是你的數字簽名,就可以了。這個常見的應用有代碼發行商簽名,就是簽名控件的那種,郵件數字簽名,電子公章等。
6.證書的格式
現在常用的證書都是採用X.509結構的,這個是一個國際標準。具體的證書包裝格式有PKCS#7,PKCS#10,PKCS#12,CER等等,其中PKCS#12是把公鑰和私鑰放在一起的,便於證書擁有者使用。
7.CA體系的結構
CA的組織結構跟域名有些相似,有一個根CA,然後它派生了一些子的,子又生孫,孫又生子,子子孫孫無窮匱也。但是給人家當孫子的滋味是不好受的,要交年費的,而且一個證書一年上萬塊。於是乎,你可以自己當老大,就是自己當根,然後再發放證書,有一個缺陷是要取得別人的認可纔行。自己做根CA要有一個根證書,然後自己給自己簽名,就行了。然後再用這個根證書和根私鑰給你的子機構簽發證書就可以了。用戶使用你簽名的證書之前必須要把你的根證書給用戶,讓用戶安裝在受信任的根區域就算認可了。
8.CA中心的功能
一個CA中心主要是做以下的工作:
1)接受證書申請,驗證申請人身份,簽發證書,向用戶提供證書的下載
2)吊銷證書,發佈黑名單,發佈吊銷列表(CRL,certificate revocation list)
9.CA中心的物理架構
1)CA服務器,用於接收證書申請、證書生成、證書作廢、證書恢復等操作
2)數據庫服務器,用於記錄用戶信息,證書信息,黑名單信息,操作日誌等
3)目錄服務器,存放發出的證書和CRL列表,提供證書下載和發佈CRL
4)操作終端,證書申請、作廢、查詢、統計、設置等操作
5)硬件加密機/卡,保存CA的根私鑰,用於對證書進行簽名
10.什麼是PKI
PKI就是公鑰基礎設施,即PKI是通過使用公開密鑰技術和數字證書來確保系統信息安全並負責驗證數字證書持有者身份的一種體系。
11.證書的具體用途
簽發一個證書的時候要提供具體用途的,比如說:郵件簽名,軟件開發商簽名,IPSec加密,服務器通信加密等,如果越出指定範圍的用途都是不受信任的。
12.CA中心的法律責任
CA中心對申請人通過其簽發的數字證書對第三方產生的侵害負連帶責任。
CA機構頒發的證書中包含申請機構的公鑰信息,用戶在與該機構進行通信時可以通過CA機構的公鑰驗證,並用驗證後的該機構的公鑰進行加密通信(不用擔心通信時提供者是假冒的,因爲即使是假冒的因爲他沒有私鑰,信息也無法解密)。