CA數(shù)字證書

數(shù)字證書(Certificate Authority)是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)發(fā)行的，是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式，最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。
特點(diǎn):

安全性、唯一性、方便性

分類:

服務(wù)器證書、電子郵件證書、個(gè)人證書

格式:

數(shù)字證書的格式普遍采用的是X.509V3國際標(biāo)準(zhǔn)，X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn)。數(shù)字證書標(biāo)準(zhǔn)包括：X.509版本號(hào)、證書持有人的公鑰、證書的序列號(hào)、主題信息、證書的有效期、認(rèn)證機(jī)構(gòu)、發(fā)布者的數(shù)字簽名、簽名算法標(biāo)識(shí)符。
頒發(fā)過程和原理

圖：數(shù)字證書的頒發(fā)過程

我們?cè)谏暾?qǐng)數(shù)字證書時(shí)一般是由CA中心首先生成用戶的密匙對(duì)，每個(gè)用戶都有自有的獨(dú)一無二的兩個(gè)相互驗(yàn)證配合的電子文件即公匙和私匙，他們可以對(duì)數(shù)據(jù)進(jìn)行加密、解密工作。私匙僅為本人所知，用戶自己設(shè)定的，用它進(jìn)行解密和簽名，是用戶私有文件。公匙是經(jīng)過服務(wù)器驗(yàn)證過的用戶可以公開展示給他人，是一組多個(gè)用戶的共享文件，主要作用是加密和驗(yàn)證私匙的簽名。如果發(fā)送一份需要保密文件，用戶事先將公匙從文件接收方拷貝過來，然后使用公鑰對(duì)即將發(fā)送的電子郵件或其他需要加密文件用私匙進(jìn)行加密，再通過郵件或其他手段發(fā)送給別人，信息就可以安全無誤地到達(dá)目的地了，而且只有收件人擁有公匙才能解密。用戶將確定自己身份的標(biāo)示文件用私匙加密，只有擁有公匙的用戶才能正確識(shí)別，數(shù)字加密的手段保證加密是一個(gè)不可逆過程，只有用私有密鑰相與之配對(duì)才能解密，這樣來維護(hù)互聯(lián)網(wǎng)上用戶身份的唯一性。

X.509標(biāo)準(zhǔn)

X.509標(biāo)準(zhǔn)是ITU-T設(shè)計(jì)的PKI (Public Key Infrastructure: 公鑰基礎(chǔ)設(shè)施) 標(biāo)準(zhǔn)，它是為了解決X.500目錄中的身份鑒別和訪問控制問題而設(shè)計(jì)的。為了提供公用網(wǎng)絡(luò)用戶目錄信息服務(wù)，ITU于1988年制定了X.500系列標(biāo)準(zhǔn)。其中X.500和X.509是安全認(rèn)證系統(tǒng)的核心，

X.500 定義了一種區(qū)別命名規(guī)則，以命名樹來確保用戶名稱的唯一性；X.509則為X.500 用戶名稱提供了通信實(shí)體鑒別機(jī)制，并規(guī)定了實(shí)體鑒別過程中廣泛適用的證書語法和數(shù)據(jù)接口， X.509 稱之為證書。

在X.509系統(tǒng)中，CA簽發(fā)的證書依照X.500的管理，綁定了一個(gè)唯一識(shí)別名，主流瀏覽器會(huì)預(yù)先安裝一部分證書，這些根證書都是受信任的證書認(rèn)證機(jī)構(gòu)CA。如果簽發(fā)證書的根證書在瀏覽器的根信任列表中，瀏覽器就會(huì)主動(dòng)識(shí)別該證書是安全的，反之，瀏覽器就會(huì)提出一個(gè)警告。

在X.509方案中,默認(rèn)的加密體制是公鑰密碼體制。目前版本X.509V1、X.509 V2、X.509 v3和X.509 V4, 目前普遍采用的格式版本是國際電信聯(lián)盟（ITU）制定的ITU-Trec.X.509V3標(biāo)準(zhǔn)。都在原有版本基礎(chǔ)上進(jìn)行功能的擴(kuò)充，其廣泛使用于web瀏覽器中。

要申請(qǐng)X.509證書，請(qǐng)求CA頒發(fā)證書。用戶提供自己的公鑰，證明自己擁有相應(yīng)的私鑰，并提供有關(guān)自己的某些特定信息。然后在這些信息上數(shù)字簽名，并將整個(gè)數(shù)據(jù)包(稱為證書請(qǐng)求)發(fā)給CA。CA來驗(yàn)證用戶提供的信息是正確的，然后就生成證書并返回給用戶。如圖數(shù)字證書的頒發(fā)過程。

SSL證書

SSL證書是數(shù)字證書的一種，遵守SSL協(xié)議，由受信任的數(shù)字證書頒發(fā)機(jī)構(gòu)CA，在驗(yàn)證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗(yàn)證和數(shù)據(jù)傳輸加密功能，彌補(bǔ)HTTP協(xié)議是明文傳輸?shù)娜秉c(diǎn)。

SSL協(xié)議(Secure Sockets Layer)：安全套接層

1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；
2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；
3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。

SSL協(xié)議提供的安全通道有以下三個(gè)特性

1）機(jī)密性：SSL協(xié)議使用密鑰加密通信數(shù)據(jù)。
2）可靠性：服務(wù)器和客戶都會(huì)被認(rèn)證，客戶的認(rèn)證是可選的。
3）完整性：SSL協(xié)議會(huì)對(duì)傳送的數(shù)據(jù)進(jìn)行完整性檢查

當(dāng)前為SSL3.0版本，可通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證。最新的高端SSL證書產(chǎn)品是擴(kuò)展驗(yàn)證（EV）SSL證書。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全瀏覽器下，使用擴(kuò)展驗(yàn)證VeriSign（EV）SSL證書的網(wǎng)站的瀏覽器地址欄會(huì)自動(dòng)呈現(xiàn)綠色，從而清晰地告訴用戶正在訪問的網(wǎng)站是經(jīng)過嚴(yán)格認(rèn)證的。

其SSL的客戶端與服務(wù)器端的認(rèn)證握手如下：

圖：SSL的客戶端與服務(wù)器端的認(rèn)證握手

HTTPS協(xié)議

HTTPS（Hypertext Transfer Protocol Secure）安全超文本傳輸協(xié)議
HTTPS內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS應(yīng)用了完全套接字層（SSL）作為HTTP應(yīng)用層的子層（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進(jìn)行通信）。SSL使用40位關(guān)鍵字作為RC4流加密算法，很適合于商業(yè)信息的加密。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證。

HTTPS是以安全為目標(biāo)的HTTP通道，是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容請(qǐng)看SSL。

整個(gè)通信過程即HTTPS加密過程如下：

圖：HTTPS加密過程

Java Web使用Httpst通信

步驟：

1)經(jīng)第三方認(rèn)證頒發(fā)證書
2)配置Tomcat服務(wù)器
3)服務(wù)器加載證書
4)web客戶端進(jìn)行https登陸

參考資料

1 SSL協(xié)議詳解
2 數(shù)字證書
3 CA基本常識(shí)X.509標(biāo)準(zhǔn)
4 HTTPS和SSL/TLS協(xié)議
5 Java WEB HTTPS使用詳解
6 架設(shè)CA服務(wù)器實(shí)現(xiàn)https通信,web服務(wù)器使用CA自簽證書與https通信