簽發證書
是以的證書都是由CA中心簽發的,如CFCA、北京CA、四川CA等,還有公司可能自己建CA。CA中心首先自己有一對公私鑰,簽發證書的過程可以有以下幾步:
- 将使用者身份資訊和使用者公鑰資訊,組成特定的資料格式D。
- 選擇摘要算法對資料D進行計算得到摘要H。
- 使用CA的私鑰對摘要H進行加密得到數字簽名S。
- 将使用者資訊、使用者公鑰資訊和數字簽名S,按照特定的格式組成數字證書。
管理私鑰
如果使用公鑰對資料加密,則隻有對應的私鑰才能對資料解密,萬一使用者的私鑰丢失了,則資料永遠無法得到正确的解密,這就需要對私鑰進行備份,如果丢失可以進行恢複。為了解決這一問題,使用了KMC(Key Management Center)。
使用者的公私秘鑰對由KMC産生,送出CA簽發數字證書後,将私鑰和數字證書同時發給客戶,KMC對私鑰進行備份,友善以後恢複證書。公司秘鑰對也可以使用者的裝置産生(USBKey),發給CA中心簽發證書時,同時也将私鑰發給KMC備份。
雙證書
為了防止使用者被冒用,應該保證使用者私鑰的唯一性,不允許備份恢複。為了防止公鑰加密後的資料無法解密,應該對私鑰進行備份。如何解決這一對沖突呢?PKI引入了雙證書機制:簽名證書和加解密證書。
簽名證書及私鑰隻用于簽名驗簽,不可加解密,該簽名私鑰時唯一的,由使用者自己産生,儲存在硬體裝置中,無法導出複制。證書簽發過程中CA中心不知道該私鑰,隻對其公鑰操作。該私鑰不可恢複。
加解密證書及私鑰隻用于加密解密,不能簽名驗簽。公私鑰由KMC産生,私鑰KMC備份,CA中心簽發完證書發給使用者。
![圖解公鑰與私鑰,加密解密、簽名驗簽流程,什麼是 CA 證書[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)