前面连续用3篇博文介绍了网络安全中涉及到的一些基础知识,现在终于要讲到我们的正题了——证书以及证书服务器。
1、证书
对于我们用户来讲,在实际应用中主要是通过证书来实现前面所提到的种种安全技术,就好像开车首先必须要办理驾照一样,我们要使用这些安全技术,首先就得去申请证书。
驾照必须要由交通局颁发,证书也是如此,必须要由权威的第三方机构颁发,这个机构就被称为CA(Cerfiticate Authority,认证中心)。
证书中用到的最核心技术是非对称式加密。用户在申请证书时,需要输入姓名、地址与电子邮件地址等数据,这些数据会被发送到一个称为CSP(cryptographic service provider,密码学服务提供者)的程序,此程序默认已经被安装到申请者的计算机内。CSP会自动创建一对密钥:一个公钥与一个私钥,CSP会将私钥存储到申请者计算机的注册表中,然后将证书申请数据与公钥一起发送到CA。CA检查这些数据无误后,会利用自己的私钥将要发放的证书加以签名,然后发放证书。申请者收到证书后,将证书安装到自己的计算机里。
目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准,符合该标准的证书主要包含以下内容:
证书可以用于很多方面,如Web用户身份验证、Web服务器身份验证、安全电子邮件、IPSec等。
2. CA(认证中心)
CA负责为用户颁发证书,必须具有权威性,应该得到用户的信任。
当用户利用某CA所发放的证书来发送一封签名的电子邮件时,接收方的计算机应该要信任由此CA所发放的证书,否则接收方的计算机会将此电子邮件视为有问题的邮件,将会出现警告信息。
Windows系统默认已经自动信任一些知名商业CA,打开IE浏览器,在【工具】菜单中选择“Internet选项\内容\证书”,然后在“受信任的根证书颁发机构”中可以查看到此计算机已经信任的CA。
我们可以向上述商业CA申请证书,但这需要缴纳不菲的费用,如果我们只是希望在公司内部或合作伙伴之间,能够安全地通过Internet发送数据的话,也可以自己来架设CA,这也就是证书服务器,然后利用我们自己的证书服务器发放证书给员工、客户与供应商等,并且让他们的计算机来信任此CA。
3. PKI(公钥基础设施)
PKI(Public Key Infrastructure,公钥基础设施),是一个通过公钥加密技术(即非对称式加密)与数字证书确保信息安全的体系,它的核心组成部分包括:公钥加密技术、数字证书、CA。
PKI其实就是把我们之前所介绍的那些安全技术以及证书、CA都综合在一起的一个总称,之所以称其为“基础设施”,是因为它在网络信息空间的地位与电力等基础设施在我们工业生活中的地位类似。
电力系统,通过延伸到用户的标准插座为用户提供能源,我们用户只要把各种电气设备插到电源插座上就可以使用电力,而根本不必去关心电到底是怎么产生的又是怎么传输到我们这里的。
PKI也是如此,它通过延伸到用户本地的接口,为各种应用提供安全的服务。有了PKI,安全应用程序的开发者不用再关心那些复杂的数学运算和模型,而直接按照标准使用一种插座(接口)。用户也不用关心如何进行对方的身份鉴别而可以直接使用标准的插座,正如在电力基础设施上使用各种电气设备一样。
所以对于PKI,我们只需了解它所能提供的三大功能:加密、签名、验证。
PKI中最基本的元素是数字证书,所有安全的操作主要通过证书来实现。PKI 中最重要的设备则是CA,负责颁发并管理证书。PKI中的核心技术是公钥加密技术(非对称式加密)。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1187119
