数字证书

身份验证对于保护通信至关重要。 用户必须可以向与其通信的人证明自己的身份,并且必须能够验证他人的身份。 网络上的身份验证很复杂,因为通信各方在通信时不在同一物理位置。 这会让不道德者有机会截获消息或冒充他人或实体。 必须制定方法,以在通信过程中保持必要的信任级别。

数字证书是一种通用凭据,提供验证标识的方法。 本部分概述了证书如何提供安全通信,以及如何使用 CryptoAPI 使用这些证书和管理这些证书。

证书是标识实体的一组数据。 受信任的组织将证书分配给将公钥与个人关联的个人或实体。 颁发证书的个人或实体称为该证书的使用者。 颁发证书的受信任组织是 证书颁发机构 (CA) ,称为证书颁发者。 可信 CA 仅在验证证书使用者的标识后颁发证书。

证书使用加密技术来解决通信之间缺乏物理接触的问题。 使用这些技术可以限制不道德的人拦截、改变或伪造邮件的可能性。 这些加密技术使证书难以修改。 因此,实体很难模拟其他人。

证书中的数据包括证书使用者公钥/私钥配对中的公钥。 使用发件人私钥签名的邮件只能由邮件的收件人使用发件人的公钥检索。 可以在发件人证书的副本上找到此密钥。 从证书检索具有 公钥 的签名证明使用证书使用者的 私钥生成了签名。 如果发送方保持警惕并保留了私钥机密,则接收方可以确信消息发送者的标识。

在网络上,通常有一个名为 证书服务器的受信任应用程序。 在安全计算机上运行的 CA 管理证书服务器。 此应用程序有权访问其所有客户端的公钥。 证书服务器分配称为证书的消息,每个消息都包含其中一个客户端用户的公钥。 每个证书都使用 CA 的私钥进行签名。 因此,此类证书的接收方可以验证指定的 CA 是否发送了该证书。

数字证书还包括扩展和扩展属性,这些扩展属性提供有关证书主体的其他信息,例如使用者的电子邮件地址以及证书使用者可以执行的活动。