数字证书

简介： 云盾证书服务（Alibaba Cloud Certificates Service）是阿里云联合多家国内外知名 CA 证书厂商，在阿里云平台上直接提供服务器数字证书，阿里云用户可以在云平台上直接购买、甚至免费获取所需类型的数字证书，并一键部署在阿里云产品中，以最小的成本实现将所持服务从 HTTP 转换成 HTTPS。 功能特性： 云盾证书服务包含以下功能： 证书管理：提供上传证书和私钥功能，实现在阿里云平台统一管理各种数字证书。 购买证书：提供受信任 CA 认证中心颁发的数字证书。经过 CA 认证中心审核认证后，颁发各等级的数字证书。 一键部署：提供在云平台上一键部署数字证书到其他阿里云产品的功能，帮助您实现低成本部署数字证书。 吊销证书：按照标准的证书吊销流程，经过 CA 认证中心审核后，安全地吊销服务器数字证书。 您可以通过云盾证书服务管理控制台的证书列表查看您所拥有的证书详细信息。 应用场景 云盾证书服务适用于以下场景： 场景一： 用户网站由 HTTP 转变成 HTTPS 阿里云用户需要将网站服务由 HTTP 转变成 HTTPS，可以通过阿里云证书服务购买受信任 CA 认证中心颁发的数字证书，然后部署在云平台网站，将 HTTP 访问转换成 HTTPS，提供认证加密功能。 场景二： 在阿里云CDN、DDoS 高防 IP、WAF、SLB 之后部署 HTTPS

区块链网络中存在如下的角色：peers， orderers, client application, administrators等等。每一个这样的角色都有一个身份标识（Identity），该身份标识是通过X.509 数字证书来表示的。这些身份标识决定了该角色的对区块链网络上资源的权限，比如是否有权限访问区块链上的某种信息。 数字身份有很多附加属性，供fabric来判断权限。数字身份给出了一个身份的组合结构，与之相关的属性称之为principal。Principals 就像用户ID或者是群组ID，但是更加复杂，因为principal中包含了该角色的一系列属性信息。当我们谈论principal的时候，就是在说觉得角色权限的各种属性信息。 为了保证身份（identity）是可以被验证的，Identity必须来自于一个受信任的颁发机构。在Fabric中，这是通过membership service provider (MSP) 来实现的。MSP是Fabric中的一个组件，它定义了管理有效identity的规则。Fabric中默认的MSP实现是使用X.509证书作为identity，采用传统的PKI（Public Key Infrastructure ）结构模型。 假设你正在逛超市买东西，在买单时发现收银台只支持银联和visa的银行卡。这时如果你想使用一张不属于银联和visa的卡来支付

数字证书用来证明某个公钥是谁的，并且内容是正确的。 对于非对称加密算法和数字签名来说，很重要的一点就是公钥的分发。 一旦公钥被人替换 （典型的如中间人攻击），则整个安全体系将被破坏掉。 怎么确保一个公钥确实是某个人的原始公钥？ 这就需要数字证书机制。 顾名思义，数字证书就是像一个证书一样，证明信息和合法性。 由证书认证机构 （Certification Authority，CA）来签发，权威的 CA 包括 verisign 等。 数字证书内容可能包括版本、序列号、签名算法类型、签发者信息、有效期、被签发人、签 发的公开密钥、CA 数字签名、其它信息等等， 一般使用最广泛的标准为 ITU 和 ISO 联合制 定的 X.509 规范。 其中，最重要的包括 签发的公开密钥 、 CA 数字签名 两个信息。 因此，只要通过这个证书就能 证明某个公钥是合法的，因为带有 CA 的数字签名。 更进一步地，怎么证明 CA 的签名合法不合法呢？ 类似的，CA 的数字签名合法不合法也是通过 CA 的证书来证明的。 主流操作系统和浏览器里 面会提前预置一些 CA 的证书（承认这些是合法的证书），然后所有基于他们认证的签名都会 自然被认为合法。 PKI 体系提供了一套完整的证书管理的框架。 在非对称加密中，公钥则可以通过证书机制来进行保护，如何管理和分发证书则可以通过 PKI（Public Key

数字证书的作用 ：数字证书就是为了证明服务端的公钥没有被篡改。 数字证书的由来 ：数字证书是由第三方公认机构颁发的，因为颁发机构是世界公认，而且这些第三方的公认机构的根证书，往往都是在浏览器、JDK等中就有的。服务端给公认机构提交自己的申请者的信息，网站的域名，以及自己的公钥等信息，公认机构用Hash算计对这些信息计算得到摘要信息，在对摘要信息和所有信息用公认机构的私钥加密得到的就是数字证书。 数字证书如何证明服务端的公钥没被篡改 ： 第一步：客户端向服务端发送一个请求 第二步：服务端把自己的数字证书发给客户端， 客户端这时候需要验签 ：客户端（的浏览器）有“受信任的机构的根证书”列表，用受信任的机构的证书的公钥，对数字证书进行解密，在用Hash算法对所有信息进行就算的摘要信息，两个摘要信息进行对比，一致就说明服务端的公钥是没被篡改的。 第三步：这时候客户端拿到的公钥就是服务端真正的公钥，保证了服务端的公钥不被篡改。 转载请标明出处: 浅谈数字证书原理 文章来源: 浅谈数字证书原理

先粗略解释一下： 一、公钥加密 假设一下，我找了两个数字，一个是1，一个是2。我喜欢2这个数字，就保留起来，不告诉你们(私钥），然后我告诉大家，1是我的公钥。 我有一个文件，不能让别人看，我就用1加密了。别人找到了这个文件，但是他不知道2就是解密的私钥啊，所以他解不开，只有我可以用数字2，就是我的私钥，来解密。这样我就可以保护数据了。 我的好朋友x用我的公钥1加密了字符a，加密后成了b，放在网上。别人偷到了这个文件，但是别人解不开，因为别人不知道2就是我的私钥，只有我才能解密，解密后就得到a。这样，我们就可以传送加密的数据了。 二、私钥签名 如果我用私钥加密一段数据（当然只有我可以用私钥加密，因为只有我知道2是我的私钥），结果所有的人都看到我的内容了，因为他们都知道我的公钥是1，那么这种加密有什么用处呢？ 但是我的好朋友x说有人冒充我给他发信。怎么办呢？我把我要发的信，内容是c，用我的私钥2，加密，加密后的内容是d，发给x，再告诉他解密看是不是c。他用我的公钥1解密，发现果然是c。 这个时候，他会想到，能够用我的公钥解密的数据，必然是用我的私钥加的密。只有我知道我得私钥，因此他就可以确认确实是我发的东西。 这样我们就能确认发送方身份了。这个过程叫做数字签名。当然具体的过程要稍微复杂一些。 用私钥来加密数据的摘要，用途就是数字签名。 总结：公钥和私钥是成对的，它们互相解密。 公钥加密

证书注册审批机构 　　RA（Registration Authority），数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。 　　RA系统直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构，RA系统可方便集成到其业务应用系统。 原文地址： 数字证书注册审批机构--RA

以前已经介绍过HTTP协议和HTTPS协议的区别，这次就来了解一下HTTPS协议的加密原理。 为了保证网络通信的安全性，需要对网络上传递的数据进行加密。现在主流的加密方法就是SSL (Secure Socket Layer)，TLS (Transport Layer Security)。后者比前者要新一些，不过在很多场合还是用SSL指代SSL和TLS。先来回顾一下网络通信加密的发展过程，假设A和B之间要网络通信。 上古时代 随着时代的发展，渐渐的有了一类人---C。C不仅会监听A和B之间的网络数据，还会拦截A和B之间的数据，伪造之后再发给A或者B，进而欺骗A和B。C就是中间人攻击（Man In The Middle Attack）。为了应对C的攻击，A和B开始对自己的数据进行加密。A和B会使用一个共享的密钥，A在发送数据之前，用这个密钥对数据加密。B在收到数据之后，用这个密钥对数据解密。因为加密解密用的是同一个密钥，所以这里的加密算法称为对称加密算法。 在1981年，DES（Data Encryption Standard）被提出，这是一种对称加密算法。DES使用一个56bit的密钥，来完成数据的加解密。尽管56bit看起来有点短，但时间毕竟是在上古时代，56bit已经够用了。就这样，网络数据的加密开始了。因为采用了DES，A和B现在不用担心数据被C拦截了。因为就算C拦截了

本节聊的话题是数字证书。先来个预警，没有婚姻的社会里面，没有人能理解结婚证是干什么的，同理，不理解公开密钥加密技术的加密通信和数字签名这两个概念，也不会理解数字证书什么用。这些话题之前，前面小节中咱们都聊过了，不知道你有没有记住呢？好，那么什么是数字证书，发证机构的作用是什么，加密通信和数字签名过程中证书发挥什么作用呢？下面一一揭晓。 一. 什么是数字证书？ 先给出一个精确的定义，究竟什么是数字证书呢？数字证书是一个由可信的第三方发出的， 用来证明所有人身份以及所有人拥有这个公钥的电子文件。 拿出一份典型的数字证书，看看里面到底都包含哪几项内容。 首先是发证机构 CA。 第二个是所有人姓名，例如 Peter 。 第三个是所有人公钥，以及公钥的过期时间。 最后一项就是 CA 的数字签名。 好，根据咱们已有的数字签名的知识，可以得出几个结论。 首先，数字签名是 CA 发出的，也就是说 CA 用自己的信用为这个证书做背书。 第二点，证书上同时带有所有人信息和公钥，数字签名保证了证书是不可篡改的，所以说，只要大家信任 CA ，就可以信任所有人和公钥之间的绑定关系。 所以说，数字证书就是第三方机构发行的证书，主要作用就是证明你的公钥的确是属于你的，而公钥其实就是我们在数字世界的身份，所以说数字证书的作用实际上就是证明你是你自己。 二. 数字证书的作用 下面我们详细说说数字证书的作用

1. 概述 随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动，公开密钥基础设施（PKI, Public Key Infrastructure）逐步在国内外得到广泛应用。我们是否真的需要PKI，PKI究竟有什么用？下面通过一个案例一步步地来剖析这个问题。 2. 案例 2.1 案例内容 甲想将一份合同文件通过Internet发给远在国外的乙，此合同文件对双方非常重要，不能有丝毫差错，而且此文件绝对不能被其他人得知其内容。如何才能实现这个合同的安全发送？ 2.2 问题1 问题1 :最自然的想法是，甲必须对文件加密才能保证不被其他人查看其内容。那么，到底应该用什么加密技术，才能使合同传送既安全又快速呢? 　　可以采用一些成熟的 对称加密算法 ,如DES、3DES、RC5等对文件加密。对称加密采用了对称密码编码技术， 对称加密的特点是文件加密和解密使用相同的密钥 ，即加密密钥也可以用做解密密钥，这种方法在密码学中叫做对称加密算法， 2.3 问题2 问题2: 如果黑客截获此文件，是否用同一算法就可以解密此文件呢? 　　不可以，因为加密和解密均需要两个组件:加密算法和对称密钥，加密算法需要用一个对称密钥来解密，黑客并不知道此密钥。 2.4 问题3 问题3: 既然黑客不知密钥

数字签名 A： 信息 - （用Hash函数）-》 摘要 （用A的私钥加密） 数字签名 数字签名+信息 发给B B: 1. 数字签名 （A的公钥解密） 摘要 2. 信息 　　（用Hash函数） 摘要 如果1 和 2 中结果相等，则证明信息在传递过程中没有被修改。但这里存在一个问题怎么证明A的公钥没有问题呢？ 数字证书 A去证书中心（certificate authority，简称CA）为A的公钥做认证。 A的公钥+其他相关信息 　　（证书中心的私钥加密）　　 数字证书 （Digital Certificate） A： 信息+数字签名+数字证书 发给B B： 1. 数字证书 　　（CA的公钥解密） A的公钥 2. 数字签名 （A的公钥解密） 摘要 3. 信息 　　（用Hash函数） 摘要 如果2 和 3 中结果相等，则证明信息在传递过程中没有被修改。且信息确实来自A。 来源： https://www.cnblogs.com/huangtq/p/11714533.html