CA憑證伺服器（4） 證書、CA、PKI

前面連續用3篇博文介紹了網絡安全中涉及到的一些基礎知識，現在終于要講到我們的正題了——證書以及證書伺服器。

對于我們使用者來講，在實際應用中主要是通過證書來實作前面所提到的種種安全技術，就好像開車首先必須要辦理駕照一樣，我們要使用這些安全技術，首先就得去申請證書。

駕照必須要由交通局頒發，證書也是如此，必須要由權威的第三方機構頒發，這個機構就被稱為CA（Cerfiticate Authority,認證中心）。

證書中用到的最核心技術是非對稱式加密。使用者在申請證書時，需要輸入姓名、位址與電子郵件位址等資料，這些資料會被發送到一個稱為CSP（cryptographic service provider，密碼學服務提供者）的程式，此程式預設已經被安裝到申請者的計算機内。CSP會自動建立一對密鑰：一個公鑰與一個私鑰，CSP會将私鑰存儲到申請者計算機的系統資料庫中，然後将證書申請資料與公鑰一起發送到CA。CA檢查這些資料無誤後，會利用自己的私鑰将要發放的證書加以簽名，然後發放證書。申請者收到證書後，将證書安裝到自己的計算機裡。

目前所使用的證書大都遵循由國際電信聯盟制定的X.509數字證書标準，符合該标準的證書主要包含以下内容：

證書可以用于很多方面，如Web使用者身份驗證、Web伺服器身份驗證、安全電子郵件、IPSec等。

CA負責為使用者頒發證書，必須具有權威性，應該得到使用者的信任。

當使用者利用某CA所發放的證書來發送一封簽名的電子郵件時，接收方的計算機應該要信任由此CA所發放的證書，否則接收方的計算機會将此電子郵件視為有問題的郵件，将會出現警告資訊。

Windows系統預設已經自動信任一些知名商業CA，打開IE浏覽器，在【工具】菜單中選擇“Internet選項\内容\證書”，然後在“受信任的根證書頒發機構”中可以檢視到此計算機已經信任的CA。

我們可以向上述商業CA申請證書，但這需要繳納不菲的費用，如果我們隻是希望在公司内部或合作夥伴之間，能夠安全地通過Internet發送資料的話，也可以自己來架設CA，這也就是證書伺服器，然後利用我們自己的證書伺服器發放證書給員工、客戶與供應商等，并且讓他們的計算機來信任此CA。

PKI（Public Key Infrastructure，公鑰基礎設施），是一個通過公鑰加密技術（即非對稱式加密）與數字證書確定資訊安全的體系，它的核心組成部分包括：公鑰加密技術、數字證書、CA。

PKI其實就是把我們之前所介紹的那些安全技術以及證書、CA都綜合在一起的一個總稱，之是以稱其為“基礎設施”，是因為它在網絡資訊空間的地位與電力等基礎設施在我們工業生活中的地位類似。

電力系統，通過延伸到使用者的标準插座為使用者提供能源，我們使用者隻要把各種電氣裝置插到電源插座上就可以使用電力，而根本不必去關心電到底是怎麼産生的又是怎麼傳輸到我們這裡的。

PKI也是如此，它通過延伸到使用者本地的接口，為各種應用提供安全的服務。有了PKI，安全應用程式的開發者不用再關心那些複雜的數學運算和模型，而直接按照标準使用一種插座（接口）。使用者也不用關心如何進行對方的身份鑒别而可以直接使用标準的插座，正如在電力基礎設施上使用各種電氣裝置一樣。

是以對于PKI，我們隻需了解它所能提供的三大功能：加密、簽名、驗證。

PKI中最基本的元素是數字證書，所有安全的操作主要通過證書來實作。PKI 中最重要的裝置則是CA，負責頒發并管理證書。PKI中的核心技術是公鑰加密技術（非對稱式加密）。

本文轉自 yttitan 51CTO部落格，原文連結:http://blog.51cto.com/yttitan/1187119