认知数字证书的类型和作用详解

【任务描述】

雅鹿公司电商专员小王需要申请企业数字证书和个人数字证书，但是他对数字证书的知识完全不了解，他决定从网上搜索相关知识。请帮助小王完成这一任务。

【任务分析】

此任务涉及数字证书的作用、特点等知识点。

【知识准备】

1.数字证书的作用

数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件。使用数字证书登录业务系统，应用场景最广泛的是网上银行支付。

数字证书由权威机构——CA（Certificate Authority）机构发行的，人们可以在网上用它来识别对方的身份。CA机构的功能如图4-1所示。

图4-1　CA机构的功能

如图4-1所示，用户A从CA机构处获取了用户B的数字证书，用户A通过验证数字证书中的公开密钥，可以确认数字证书的有效性。

2.我国CA认证的现状

为促进电子商务的顺利开展，我国的行业部门和地方相关部门都已建成了完整的CA体系。在国内，目前每个省份都有自己的CA机构。部分省市的CA机构如表4-1所示。

表4-1　部分省市的CA机构

中国人民银行联合12家银行建立了中国金融认证中心（CFCA）、中国电信认证中心（CTCA）、海关认证中心（SCCA）、国家外贸部EDI中心建立的国富安CA认证中心。

1）中国电信认证中心（CTCA）

目前银行证券、民航、工商、电信等多个行业联合开发出了网上安全支付系统、电子缴费系统、电子银行系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统、网上报税系统等一系列基于CTCA的电子商务应用，已经初步建立起中国电信电子商务平台。

2）中国金融认证中心（CFCA）

中国金融认证中心（CFCA）是由中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行等12家商业银行共同建设的。中国金融认证中心的项目包括建设SETCA和Non-SETCA两套系统。中国金融认证中心专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、网上证券交易、支付系统和管理信息系统等，为参与网上交易的各方提供安全基础，建立彼此信任的机制。

【任务实施】

1.了解数字证书

1）数字证书的格式

在电子商务系统中，所有参与活动的实体都需要用数字证书表明自己的身份，最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。

2）CA机构

CA机构是所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构，是公钥基础设施的核心，负责为电子政务、电子商务环境中的各个实体颁发数字证书，以证明各实体身份的真实性，并负责检验和管理数字证书。

3）数字证书的类型

（1）个人数字证书。个人数字证书主要为某一个用户提供，以帮助个人用户和其他用户交换信息或使用在线服务时验证用户的身份、保证信息的安全，主要针对个人的E-mail安全。常安装在浏览器内，且Netscape IE都支持它。

（2）服务器证书。服务器证书主要为网上的某些Web服务器站点提供服务。在电子商务活动中，售物方和购物方向CA机构申请用户证书，电子商务服务器需要向CA机构申请服务器证书，售物方和购物方的开户银行也要向CA机构申请服务器证书。

（3）开发者证书。开发者证书用于特殊场合，只有少数CA机构提供。开发者证书通常为Internet中被下载的软件提供，为软件作数字标识，在Internet上进行安全的传送。

2.数字证书的结构

数字证书中包括密钥的有效时间、发证机关（CA机构）的名称、证书的序列号等信息。数字证书的格式遵循ITUT X.509国际标准，如图4-2所示。

图4-2　数字证书的格式

X.509是密码学中公钥证书的格式标准。标准的X.509数字证书包含以下7个内容：

（1）证书的版本信息；

（2）证书的序列号，每个证书都有唯一的证书序列号；

（3）证书所使用的签名算法；

（4）证书的发行机构名称（CA机构）；

（5）证书的有效期，采用UTC时间格式，计时范围为1950—2049年；(www.xing528.com)

（6）证书所有人的名称；

（7）证书所有人的公钥。

证书发行者对密钥进行签名，数字证书的结构如图4-3所示。

图4-3　数字证书的结构

【讨论】什么是基于生物特征识别的数字签名？特殊数字签名方法中包含有基于生物特征识别的数字签名，如指纹、掌纹、虹膜、声音、笔迹等。请上网搜索基于生物特征识别的数字签名的知识，并分组讨论基于生物特征识别的数字签名的应用前景。

3.数字证书的生成过程

1）生成数字签名

使用数字证书申请者的身份信息生成数字签名，如图4-4所示。

图4-4　使用数字证书申请者的身份信息生成数字签名

2）组成数字证书

将证书申请者的身份信息和数字签名捆绑在一起组成数字证书，如图4-3所示。

4.数字证书的申请和使用

登录中国数字认证网（http：//www．ca365.com/）、广东省电子商务认证有限公司网站（https：//www．cnca.net/）、深圳电子认证中心（http：//www．szca.gov.cn/）等相关网站，了解个人数字证书的申请条件。

（1）登录。选择广东省电子商务认证有限公司网站（http：//www．cnca.net），了解该CA机构。

（2）访问试用型个人数字证书申请页面或登录中国数字认证网（http：//www．ca365.com/），申请个人测试数字证书。

（3）根据“申请试用型个人数字证书”提示，选择安装证书链。

（4）选择“安装证书键”选项后，系统会提示“完成”，这时再单击“继续”按钮。

（5）此时进入“申请试用型个人数字证书”的第二步，即填写并提交申请表格。在该页面中，需要按照系统的提示填写真实信息。填写完后，单击“继续”按钮，系统开始签发数字证书。

（6）系统受理并签发完数字证书后，接着下载并安装数字证书。这时，系统会给出证书业务受理号和密码。

（7）选择“安装证书”选项，输入证书业务受理号和密码。（8）根据证书业务受理号及密码，系统显示数字证书。

（9）系统将证书安装在计算机中的应用程中。

5.数字证书的导入和导出

当需要在不同的计算机中使用同一张数字证书，或者重新安装计算机准备备份数字证书时，需要按照以下步骤将根证书和数字证书先后导出，在需要使用该证书时，再依次导入根证书和数字证书。

1）根证书的导出

（1）启动IE浏览器，选择“工具”→“Internet选项”→“内容”→“证书”→“受信任的根目录颁发机构”选项，选择要导出的根证书。

（2）单击“导出”按钮后，弹出证书管理器导出向导界面，按照向导提示操作，向导会提示选择证书导出的格式，一般选择系统默认设置。

（3）系统会让操作者选择导出文件的路径，选择好导出文件的路径后，按提示单击“下一步”按钮，直至系统出现根证书导出成功提示，便完成根证书导出过程。

2）根证书的导入

（1）在IE浏览器中，选择“工具”→“Internet选项”→“内容”→“证书”→“受信任的根目录颁发机构”选项，双击要导出的根证书文件，选择“安装证书”选项，进入证书管理器导入向导界面。

（2）按照根证书的安装向导操作，当系统提示选定证书存储区时，可选择根据证书类型，自动选择根证书存储区，根据系统提示操作，直至结束根证书导入向导。

3）数字证书的导出

（1）启动IE浏览器，选择“工具”→“Internet选项”→“内容”→“证书”选项，选择个人标签栏，选择数字证书，单击“导出”按钮，系统提示“欢迎使用证书导出向导”，进入证书管理器导出向导程序。

（2）系统询问是否将私钥与数字证书一起导出，单击“是”按钮，导出私钥。

（3）系统会提示操作者选择导出数字证书的格式，如果导出了私钥的数字证书文件，则格式为PFX。

（4）在导出私钥时，系统会提示要求输入私钥保护密码，为了防止第三方非法使用数字证书，应输入私钥保护密码；然后根据系统提示进入下一步；在出现的对话框中，还需要选择导出文件的路径和文件名。至此，证书管理器导出向导完成导出任务。

4）数字证书的导入

（1）启动IE浏览器，选择“工具”→“Internet选项”→“内容”→“证书”选项，选择个人标签栏，单击“导入”按钮，系统提示“欢迎使用证书导入向导”，进入证书管理器导入向导界面，然后选择证书导入的文件。

（2）在选择证书存储区时，选择系统默认设置。当系统显示“完成证书管理器导入向导”时，单击“完成”按钮。这时系统提示输入一个新的私钥，设定私钥后单击“确定”按钮，系统提示证书导入成功。