什麽是CA證書

CA的作用是檢查證書持有者身份的合法性，並簽發證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。(三)CA中心 CA中心為每壹個使用公鑰的用戶發放壹個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。 CA認證中心的數字簽名技術使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡的消費人、商家發放證書，還對交易過程中所涉及到的銀行、網關也發放證書。它負責產生、分配並管理所有參與網上交易的個體所需的數字證書。(四)CA證書的種類CA中心發放的證書分為兩類：SSL證書和SET證書。壹般地說，SSL（安全套接層）證書是服務於銀行對企業或企業對企業的電子商務活動的；而SET（安全電子交易）證書則服務於持卡消費、網上購物。雖然它們都是用於識別身份和數字簽名的證書，但它們的信任體系完全不同，而且所符合的標準也不壹樣。簡單地說，SSL證書的作用是通過公開密鑰證明持證人的身份。而SET證書的作用則是，通過公開密鑰證明持證人在指定銀行確實擁有該信用卡賬號，同時也證明了持證人的身份。 用戶想獲得證書時，首先要向CA中心提出申請，說明自己的身份。CA中心在證實用戶的身份後，向用戶發出相應的數字安全證書。認證機構發放證書時要遵循壹定的原則，如要保證自己發出的證書的序列號各不相同，兩個不同的實體所獲得的證書的主題內容應該相異，不同主題內容的證書所包含的公開密鑰相異等。(五)CA證書的基本原理及功能？SSL 協議的握手和通訊為了便於更好的認識和理解 SSL 協議，這裏著重介紹 SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和服務器之間完成相互之間的身份認證，其主要過程如下：① 客戶端的瀏覽器向服務器傳送客戶端 SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。② 服務器向客戶端傳送 SSL 協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。③ 客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發行服務器證書的 CA 是否可靠，發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。④ 用戶端隨機產生壹個用於後面通訊的“對稱密碼”，然後用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然後將加密後的“預主密碼”傳給服務器。⑤如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立壹個隨機數然後對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”壹起傳給服務器。⑥如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的 CA 是否可靠，發行 CA 的公鑰能否正確解開客戶證書的發行 CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然後執行壹系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。⑦ 服務器和客戶端用相同的主密碼即“通話密碼”，壹個對稱密鑰用於 SSL 協議的安全數據通訊的加解密通訊。同時在 SSL 通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。⑧客戶端向服務器端發出信息，指明後面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。⑨服務器向客戶端發出信息，指明後面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。⑩ SSL 的握手部分結束，SSL 安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。CA中心主要職責是頒發和管理數字證書。其中心任務是頒發數字證書，並履行用戶身份認證的責任。CA中心在安全責任分散、運行安全管理、系統安全、物理安全、數據庫安全、人員安全、密鑰管理等方面，需要十分嚴格的政策和規程，要有完善的安全機制。另外要有完善的安全審計、運行監控、容災備份、事故快速反應等實施措施，對身份認證、訪問控制、防病毒防攻擊等方面也要有強大的工具支撐。CA中心的證書審批業務部門則負責對證書申請者進行資格審查，並決定是否同意給該申請者發放證書，並承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的壹切後果，因此，它應是能夠承擔這些責任的機構擔任；證書操作部門（Certificate P-rocessor，簡稱CP）負責為已授權的申請者制作、發放和管理證書，並承擔因操作運營錯誤所產生的壹切後果，包括失密和為沒有授權者發放證書等，它可以由審核業務部門自己擔任，也可委托給第三方擔任。 (六)CA證書管理包括哪些方面工作CA 策略管理管理員可以指定 CA 管理策略，包括：根證書、個人證書、企業證書、服務器證書的密鑰長度、有效期、是否備份等策略。(七)畫圖說明CA證書申請流程。(八)申請CA證書的用戶導出證書的目的是什麽?簡要介紹導出的操作步驟1當普通的恢復失效時，數據恢復代理需要使用數據恢復密鑰，以允許代理恢復加密數據。 因此，保護恢復密鑰是非常重要的。有壹種好方法可以防止丟失恢復密鑰，那就是僅在需要時才將這些恢復密鑰導入本地計算機。而在其他時候，您應將數據恢復代理的數據恢復證書和私鑰導出，並以 .pfx 格式文件存儲到安全的可移動介質。2 步驟 第壹步，從IE中導出證書。點擊IE菜單"工具"，打開"Internet選項"對話框，選中"內容"頁，點擊"證書"，彈出"證書"對話框，請您選擇您要導出的證書，然後選擇"導出"操作，您就可以根據"證書導出向導"操作完成證書導出了，請註意，"證書導出向導"第二步提示您"是否導出私鑰？"，請選擇"是，導出私鑰"，成功導出證書後，您會得到壹個以".pfx"結尾的文件。 第二步，導入證書到Webmail。在Webmail左幀選擇"個人資料"，然後在右幀點擊"設置個人證書"。請點擊"導入證書"，在"上傳證書"對話框中請瀏覽找到您在第壹步操作中所導出的".pfx"文件，按"下壹步"，輸入您在第壹步的"證書導出向導"裏要求您輸入的秘匙保護密碼，您可以選擇"保存密碼"，以後查看加密郵件就不需要輸入密碼了。成功的話，Webmail將會顯示證書的簡略信息。有了個人證書，妳就可以發送有妳數字簽名的信件了。