編者按：CA中心是國家認可的權威、可信、公正的第三方機構，專門負責發放并管理所有參與網上業務的實體所需的數字證書。數字證書是網絡世界中的身份證。可以在網絡世界中為互不見面的用戶建立安全可靠的信任關系，這種信任關系的建立則源于PKI/CA認證中心，構建安全的PKI/CA認證中心是至關重要的。CA擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書(含公鑰)，用以驗證它所簽發的證書。本文節選汪德嘉博士《身份危機》中的CA證書介紹章節。帶大家了解什么是CA證書？CA證書有哪些作用及應用場景、領域？

CA證書概述

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。它是由權威機構—CA機構，又稱為證書授權（CertificateAuthority）中心發行的，人們可以在網上用它來識別對方的身份。

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書還有一個重要的特征就是只在特定的時間段內有效。

數字證書是一種權威性的電子文檔，可以由權威公正的第三方機構，即CA（例如中國各地方的CA公司）中心簽發的證書，也可以由企業級CA系統進行簽發。它以數字證書為核心的加密技術（加密傳輸、數字簽名、數字信封等安全技術）可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。使用了數字證書，即使您發送的信息在網上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

它是能提供在Internet上進行身份驗證的一種權威性電子文檔，人們可以在互聯網交往中用它來證明自己的身份和識別對方的身份。當然在數字證書認證的過程中證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的。如何判斷數字認證中心公正第三方的地位是權威可信的？截至2014年3月11日，國家工業和信息化部以資質合規的方式，陸續向30多家相關機構頒發了從業資質。

由于Internet電子商務系統技術使得顧客在網上購物時能夠極其方便地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。為了保證互聯網上電子交易及支付的安全性，保密性等，防范交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，并且在網上能夠有效無誤的被進行驗證。

CA證書作用

基于Internet網的電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須對于在因特網上進行的一切金融交易運作都是真實可靠的，并且要使顧客、商家和企業等交易各方都具有絕對的信心，因而因特網（Internet）電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網絡安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。

1、信息的保密性

交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

2、交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以采用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。

3、不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

4、不可修改性

交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

為建立安全證書體系結構，數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對于自己的信息不能抵賴。

CA證書優勢

（1）權威性：CA證書設備由CA中心頒發，使用其作為身份識別設備具有很高的權威性；

（2）不可偽造：數字證書設備經過國家相關部門審核批準，設備中保存的用戶私鑰無法被讀出，不可被偽造；

（3）不容易被冒用：使用證書需要同時持有數字證書設備和設備啟動口令，缺一不可，因此只要保護好證書設備，他人無法冒用用戶身份；

（4）不可破解：數字證書設備具有口令保護機制，在連續輸入錯誤一定次數后，設備將被鎖定，防止暴力破解；

（5）容易保管：數字證書可采用硬件（Usbkey）以及軟件（移動APP）為載體，方便攜帶保管，不易遺失；

（6）遺失容易發現：萬一數字證書設備遺失，能夠及時發現，并采取相應措施。

CA證書應用

• 應用場景

數字證書在廣義上可分為：個人數字證書、單位數字證書、單位員工數字證書、服務器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。

1、個人證書

（1）客戶端證書主要被用來進行身份認證和電子簽名。

基于硬件身份認證：安全的客戶端證書被存儲于專用的usbkey中。存儲于key中的證書不能被導出或復制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的種類有多種，指紋識別、第三鍵確認，語音報讀，以及帶顯示屏的專用usbkey和普通usbkey等。

（2）基于軟件身份認證：安全的客戶端證書被存儲于手機磁盤中。存儲于手機磁盤中的證書不難被導出和復制，并結合PKI體系實現對信息的保護，利用CA證書的權威性及不可抵賴性，有效防止交易抵賴，基于移動設備的安全身份認證已廣泛被市場所認可，如銀行、金融、電商平臺、物流等。

2、服務器證書

服務器證書被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止欺詐釣魚站點。在服務器上安裝服務器證書后，客戶端瀏覽器可以與服務器證書建立SSL連接，在SSL連接上傳輸的任何數據都會被加密。同時，瀏覽器會自動驗證服務器證書是否有效，驗證所訪問的站點是否是假冒站點，服務器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。

全球知名的服務器證書品牌有GlobalSign，Verisign，Thawte，Geotrust等。

SSL證書主要用于服務器（應用）的數據傳輸鏈路加密和身份認證，綁定網站域名，不同的產品對于不同價值的數據和要求不同的身份認證。最新的高端SSL證書產品是擴展驗證（EV）SSL證書。在IE7.0、FireFox3.0、Opera9.5等新一代高安全瀏覽器下，使用擴展驗證VeriSign（EV）SSL證書的網站的瀏覽器地址欄會自動呈現綠色，從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的。SSL證書還有企業型SSL證書(OVSSL)及域名型證書（DVSSL）。

3、電子郵件證書

電子郵件證書可以用來證明電子郵件發件人的真實性。它并不證明數字證書上面CN一項所標識的證書所有者姓名的真實性，它只證明郵件地址的真實性。收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實由指定郵箱發出外，還可以確信該郵件從被發出后沒有被篡改過。另外，使用接收的郵件證書，我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網絡傳輸，只有接收方的持有者才可能打開該郵件。

•  應用領域

CA中心所發放的(CA證書）數字安全證書可以應用于公眾網絡上的商務活動和行政作業活動，包括支付型和非支付型電子商務活動，其應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易，以及公共事業、金融服務業、工商稅務海關、政府行政辦公、教育科研單位、保險、醫療等網上作業系統。它主要應用于網上購物、企業與企業的電子貿易、安全電子郵件、網上證券交易、網上銀行等方面。CA中心還可以與企業代碼證中心合作，將企業代碼證和企業數字安全證書一體化，為企業網上交易、網上報稅、網上報關、網上作業奠定基礎，免去企業面對眾多的窗口服務的苦累。

（1）網上交易

利用數字安全證書的認證技術，對交易雙方進行身份確認以及資質的審核，確保交易者信息的唯一性和不可抵賴性，保護了交易各方的利益，實現安全交易。

（2）網上報稅

為了配合稅務機關和企業信息化工作，加強網上報稅系統的安全性，CA將向稅務機關和納稅人提供權威的數字認證服務，利用基于數字安全證書的用戶身份認證技術對網上報稅系統中的申報數據進行數字簽名，確保申報數據的完整性，確認系統用戶的真實身份和申報數據的真實來源，防止出現抵賴行為和他人偽造篡改數據；利用基于數字安全證書的安全通訊協議技術，對網絡上傳輸的機密信息進行加密，防止納稅人商業機密或其他敏感信息泄露。

（3）工商管理

建設工商行政管理綜合業務處理系統，該工程是以數字安全證書認證技術為核心，以工商行政管理計算機信息網絡為基礎，面向全國、全省各類型企業的一項信息化工程基礎項目。它可以使工商局更加有效的管理企業，并且保證企業能夠在更加安全的網絡環境中從事經濟活動。

（4）網上辦公

網上辦公系統綜合國內政府、企事業單位的辦公特點，提供了一個虛擬的辦公環境，并在該系統中嵌入數字認證技術，展開網上政文的上傳下達，通過網絡聯結各個崗位的工作人員，通過數字安全證書進行數字加密和數字簽名，實行跨部門運作，實現安全便捷的網上辦公。

（5）網上招標

以往的招投標受時間、地域、人文的影響，存在著許多弊病，例如外地投標者的不便、招投標各方的資質，以及招標單位和投標單位之間存在的貓膩關系。而實行網上的公開招投標，經貿委利用數字安全證書對企業進行身份確認，招投標企業只有在通過經貿委的身份和資質審核后，才可在網上展開招投標活動，從而確保了招投標企業的安全性和合法性，雙方企業通過安全網絡通道了解和確認對方的信息，選擇符合自己條件的合作伙伴，確保網上的招投標在一種安全、透明、信任、合法、高效的環境下進行。通過該網上招投標系統，使企業能夠制定正確的投資取向，根據自身的實際情況，選擇合適的合作者。

（6）安全電子郵件

郵件的發送方利用接收方的公開密鑰對郵件進行加密，郵件接受方用自己的私有密鑰解密，確保了郵件在傳輸過程中信息的安全性、完整性和唯一性。

CA證書頒發

• 頒發機構

CA機構，又稱為證書授證（CertificateAuthority）中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配并管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。由此可見，建設證書授權（CA）中心，是開拓和規范電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發并管理符合國內、國際安全電子交易協議標準的電子商務安全證書。

• 證書頒發機構的類型

CA的類型包括以下三種：

（1）自簽名CA：在自簽名CA中，證書中的公鑰和用于驗證證書的密鑰是相同的。其中，一些自簽名CA是根CA。

（2）從屬CA：在從屬CA中，證書中的公鑰和用于核實證書的密鑰是不同的。一個CA向另一個CA頒發證書的過程叫做交叉認證。

（3）根CA：根CA是一種特殊的CA，它受到客戶無條件地信任，位于證書層次結構的最高層。所有證書鏈均終止于根CA。根頒發機構必須對它自己的證書簽名，因為在證書層次結構中再也沒有更高的認證機構了。

• 頒發過程

CA證書頒發過程（見圖6-6）一般為：用戶首先產生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然后，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同，每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。

圖6-6 CA證書簽發過程

•  CA證書吊銷

CA證書具有一個指定的壽命，但CA可通過稱為證書吊銷的過程來縮短這一壽命。CA發布一個證書吊銷列表(CRL)，列出被認為不能再使用的證書的序列號。CRL是一個數據庫，其中包含了原定到期日期之前已被撤消的證書列表。CRL數據庫用于確定請求的客戶機證書是否已撤消。CRL指定的壽命通常比證書指定的壽命短得多。CA也可以在CRL中加入證書被吊銷的理由。它還可以加入被認為這種狀態改變所適用的起始日期。可將下列情況指定為吊銷證書的理由：泄露密鑰、泄露CA、從屬關系改變、被取代、業務終止、證書持有(這是唯一讓您能夠改變被吊銷證書狀態的理由碼，在證書狀態有問題的情況下非常有用)。

由CA吊銷證書意味著，CA在證書正常到期之前撤銷其允許使用該密鑰對的有關聲明。在吊銷的證書到期之后，CRL中的有關條目被刪除，以縮短CRL列表的大小。

在驗證簽名期間，應用程序可以檢查CRL，以確定給定證書和密鑰對是否仍然可信(有些應用程序使用CryptoAPI中的Microsoft證書鏈驗證API來完成此任務)。如果不可信，應用程序可以判斷吊銷的理由或日期對使用有疑問證書是否有影響。如果該證書被用來驗證簽名，且簽名的日期早于CA吊銷該證書的日期，那么該簽名仍被認為是有效的。

應用程序獲得CRL之后，由客戶機緩存CRL，在它到期之前客戶機將一直使用它。如果CA發布了新的CRL，擁有有效CRL的應用程序并不使用新的CRL，直到應用程序擁有的CRL到期為止。

• CA證書的通訊

CA認證系統通信由客戶端和服務器端兩部分組成。在CA認證系統服務器端添加部分組件，總體基于C/S（client/server，客戶/服務器）結構模式。

客戶端的實現形式可以是ActiveX或applet控件，或者是專用硬件或軟件；服務器端的實現形式可以是服務程序，或者是專用硬件或軟件，加上安全套接層協議完善的數據保護機制，共同組建通道以實現安全通信。

CA證書工作原理

數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。

通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰進行解密。用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。

采用數字簽名，能夠確認以下兩點：保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認。保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。

結束：在因特網、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。在當前環境下，為了讓用戶切實感到CA中心所提供的服務是安全可信的，保證認證中心各項業務正常運行，規避潛在的安全隱患，從而推動電子政務、電子商務等對信任機制要求較高的網上業務的發展，CA中心必須加強信息安全管理以切實獲得用戶的信任，消除用戶殘余的安全憂慮。

網絡世界中除了CA數字證書可以對網絡身份進行驗證以外，FIDO協議以及電子簽名技術也可以很好地提高身份認證安全性、保護隱私及改善用戶體驗。那么FIDO協議、電子簽名技術是怎么做到身份認證？又如何做到保護用戶賬戶和隱私呢？在下篇中文章將會進行詳細解讀，敬請期待！