證書是驗(yàn)證身份的標(biāo)志,有數(shù)字證書相當(dāng)于有了一個(gè)認(rèn)證標(biāo)志,很多網(wǎng)站都有數(shù)字認(rèn)證,像淘寶,現(xiàn)金交易時(shí)候就會(huì)有一個(gè)數(shù)字證書的驗(yàn)證
1.數(shù)字證書基本功能
數(shù)字證書，是由證書認(rèn)證機(jī)構(gòu)簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及一些擴(kuò)展信息的數(shù)字文件。

從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息完整性和行為的不可抵賴；加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的機(jī)密性。以下對(duì)數(shù)字證書的基本功能進(jìn)行原理性描述。

身份認(rèn)證
在各應(yīng)用系統(tǒng)中，常常需要完成對(duì)使用者的身份認(rèn)證，以確定誰在使用系統(tǒng)，可以賦予使用者何種操作權(quán)限。身份認(rèn)證技術(shù)發(fā)展至今已經(jīng)有了一套成熟的技術(shù)體系，其中，利用數(shù)字證書完成身份認(rèn)證是其中最安全有效的一種技術(shù)手段。

利用數(shù)字證書完成身份認(rèn)證，被認(rèn)證方（甲）必須先到相關(guān)數(shù)字證書運(yùn)營機(jī)構(gòu)申請(qǐng)數(shù)字證書，然后才能向應(yīng)用系統(tǒng)認(rèn)證方（乙）提交證書，完成身份認(rèn)證。
通常，使用數(shù)字證書的身份認(rèn)證流程如下圖所示：


被認(rèn)證方（甲），使用自己的簽名私鑰，對(duì)隨機(jī)數(shù)進(jìn)行加密；

被認(rèn)證方（甲）將自己的簽名證書和密文發(fā)送給認(rèn)證方（乙）；

乙驗(yàn)證甲所提供的簽名證書的有效期、證書鏈，并完成黑名單檢查，失敗則放棄；

有效期、證書鏈和黑名單驗(yàn)證通過后，乙即使用甲的簽名證書對(duì)甲所提供的密文進(jìn)行解密，成功則表明可以接受由甲提交的簽名證書所申明的身份。

在上述流程中，步驟3描述的是對(duì)證書本身的驗(yàn)證，依次分別驗(yàn)證有效期、證書鏈和黑名單，某個(gè)步驟如果驗(yàn)證失敗，則驗(yàn)證流程立即終止，不必再執(zhí)行下一個(gè)驗(yàn)證。同時(shí)，有效期、證書鏈和黑名單的依次驗(yàn)證順序是最合理的順序，能夠讓驗(yàn)證流程達(dá)到最佳性能。

通過步驟3的驗(yàn)證后，甲所提交的證書可以得到驗(yàn)證，但這與甲本身是否和該證書所申明的實(shí)體相等沒有必然聯(lián)系，甲必須表明其是這個(gè)簽名證書對(duì)應(yīng)的唯一私鑰的擁有者。因此，當(dāng)步驟4執(zhí)行成功后，即該簽名證書能夠解密，則說明甲擁有該私鑰，從而完成了對(duì)甲所申明身份的認(rèn)證。

上面具體描述的是單向認(rèn)證，即只有乙認(rèn)證甲的身份，而甲沒有認(rèn)證乙的身份。單向認(rèn)證不是完善的安全措施，誠實(shí)可信的用戶甲可能會(huì)碰到類似“釣魚網(wǎng)站”的欺騙。因此在需要高度安全的應(yīng)用環(huán)境中，還需要實(shí)現(xiàn)雙向認(rèn)證。即乙也需要向甲提供其簽名證書，由甲來完成上述驗(yàn)證流程，以確認(rèn)乙的身份。如下圖。


數(shù)字簽名
數(shù)字簽名是數(shù)字證書的重要應(yīng)用功能之一，所謂數(shù)字簽名是指證書用戶（甲）用自己的簽名私鑰對(duì)原始數(shù)據(jù)的雜湊變換后所得消息摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者（乙）使用信息發(fā)送者的簽名證書對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得消息摘要，并對(duì)收到的原始數(shù)據(jù)采用相同的雜湊算法計(jì)算其消息摘要，將二者進(jìn)行對(duì)比，即可校驗(yàn)原始信息是否被篡改。數(shù)字簽名可以完成對(duì)數(shù)據(jù)完整性的保護(hù)，和傳送數(shù)據(jù)行為不可抵賴性的保護(hù)。

使用數(shù)字證書完成數(shù)字簽名功能，需要向相關(guān)數(shù)字證書運(yùn)營機(jī)構(gòu)申請(qǐng)具備數(shù)字簽名功能的數(shù)字證書，然后才能在業(yè)務(wù)過程中使用數(shù)字證書的簽名功能。

通常，使用數(shù)字證書的簽名和驗(yàn)證數(shù)字證書簽名的流程如圖所示：


簽名發(fā)送方（甲）對(duì)需要發(fā)送的明文使用雜湊算法，計(jì)算摘要；

甲使用其簽名私鑰對(duì)摘要進(jìn)行加密，得到密文；

甲將密文、明文和簽名證書發(fā)送給簽名驗(yàn)證方乙；

乙一方面將甲發(fā)送的密文通過甲的簽名證書解密得到摘要，另一方面將明文采用相同的雜湊算法計(jì)算出摘要；

乙對(duì)比兩個(gè)摘要，如果相同，則可以確認(rèn)明文在傳輸過程中沒有被更改，并且信息是由證書所申明身份的實(shí)體發(fā)送的。

如果需要確認(rèn)甲的身份是否和證書所申明的身份一致，則需要執(zhí)行身份認(rèn)證過程，如前一節(jié)所述。

在上述流程中，簽名私鑰配合雜湊算法的使用，可以完成數(shù)字簽名功能。在數(shù)字簽名過程中可以明確數(shù)據(jù)完整性在傳遞過程中是否遭受破壞和數(shù)據(jù)發(fā)送行為是簽名證書所申明的身份的行為，提供數(shù)據(jù)完整性和行為不可抵賴功能。數(shù)字證書和甲的身份的確認(rèn)，需要通過身份認(rèn)證過程明確。

數(shù)字信封
數(shù)字信封是數(shù)字證書另一個(gè)重要應(yīng)用功能，其功效類似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀“信件”的內(nèi)容。

數(shù)字信封中采用了對(duì)稱密碼機(jī)制和公鑰密碼機(jī)制。信息發(fā)送者（甲）首先利用隨機(jī)產(chǎn)生的對(duì)稱密鑰對(duì)信息進(jìn)行加密，再利用接收方（乙）的公鑰加密對(duì)稱密鑰，被公鑰加密后的對(duì)稱密鑰被稱之為數(shù)字信封。在傳遞信息時(shí)，信息接收方要解密信息時(shí)，必須先用自己的私鑰解密數(shù)字信封，得到對(duì)稱密鑰，才能利用對(duì)稱密鑰解密所得到的信息。通過數(shù)字信封可以指定數(shù)據(jù)接收者，并保證數(shù)據(jù)傳遞過程的機(jī)密性。

使用數(shù)字證書完成數(shù)字信封功能，需要向相關(guān)數(shù)字證書運(yùn)營機(jī)構(gòu)申請(qǐng)具備加密功能的數(shù)字證書，然后才能在業(yè)務(wù)過程中使用數(shù)字證書的數(shù)字信封功能。

通常，數(shù)字信封和數(shù)字信封拆解的流程如圖所示：

信息發(fā)送方（甲）生成對(duì)稱密鑰；

甲使用對(duì)稱密鑰對(duì)需要發(fā)送的信息執(zhí)行加密，得到密文；

甲使用信息接收方（乙）的加密證書中的公鑰，加密對(duì)稱密鑰，得到數(shù)字信封；

甲將密文和數(shù)字信封發(fā)送給乙；

乙使用自己的加密私鑰拆解數(shù)字信封，得到對(duì)稱密鑰；

乙使用對(duì)稱密鑰解密密文，得到明文。





在上述流程中，信息發(fā)送方（甲）對(duì)用于加密明文信息的對(duì)稱密鑰使用接收方（乙）的加密證書進(jìn)行加密得到數(shù)字信封，利用私鑰的唯一性保證只有擁有對(duì)應(yīng)私鑰的乙才能拆解數(shù)字信封，從而閱讀明文信息。據(jù)此，甲可以確認(rèn)只有乙才能閱讀信息，乙可以確認(rèn)信息在傳遞過程中保持機(jī)密。


1、證書申請(qǐng)

CFCA授權(quán)的證書的注冊(cè)審核機(jī)構(gòu)（Registration Authority，簡(jiǎn)稱RA）（各商業(yè)銀行、證券公司等機(jī)構(gòu)），面向最終用戶，負(fù)責(zé)接受各自的持卡人和商戶的證書申請(qǐng)并進(jìn)行資格審核，具體的證書審批方式和流程由各授權(quán)審核機(jī)構(gòu)規(guī)定。

證書申請(qǐng)表直接到RA處領(lǐng)取。

2、證書審批

經(jīng)審批后，RA將審核通過的證書申請(qǐng)信息發(fā)送給CFCA，由CFCA簽發(fā)證書。

● 系統(tǒng)--CFCA將同時(shí)產(chǎn)生的二個(gè)碼（參考號(hào)、授權(quán)碼）發(fā)送到RA系統(tǒng)。為安全起見，RA采用兩種途徑將以上兩個(gè)碼交到證書申請(qǐng)者手中： RA管理員將其中授權(quán)碼打印在密碼信封里當(dāng)面交給證書申請(qǐng)者；將參考號(hào)發(fā)送到證書申請(qǐng)者的電子郵箱里。

● SET系統(tǒng)--持卡人/商戶到RA各網(wǎng)點(diǎn)直接領(lǐng)取專用密碼信封。

3、證書發(fā)放/下載

CA簽發(fā)的證書格式符合X.509 V3標(biāo)準(zhǔn)。具體的證書發(fā)放方式各個(gè)RA的規(guī)定有所不同。可以登陸CFCF網(wǎng)站http://www.cfca.com.cn 聯(lián)機(jī)下載證書或者到銀行領(lǐng)取。

4、證書生成

證書在本地生成，證書由CFCA頒發(fā)，用戶私鑰由客戶自己保管

摘自：http://zhidao.baidu.com/question/27809344.html

總結(jié)

以上是生活随笔為你收集整理的什么是数字证书？它有什么作用？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。