在讲数字证书之前要先了解两个概念:对称加密算法和非对称加密算法
1、对称加密算法
在对称加密算法中,加密使用的密钥和解密使用的密钥是相同的。例如对abcdefg的明文进行加密,密钥为12345678,明文和密钥都转化为二进制数,然后进行异或操作,再生成新的二进制数,再转化为字符串,便得到了密文,如果想得到明文,就必须用一样的密钥对密文进行解密。因此对称加密算法要保证安全性的话,密钥需要做好保密,不能让其他人知道,否则信息就泄露了。
2、非对称加密算法
在非对称加密算法中,加密使用的密钥和解密使用的密钥是不相同的,例如RSA算法就是非对称加密。RSA密码体制是一种公钥密码体制,公钥公开,私钥保密,它的加密解密算法是公开的。 由公钥加密的内容可以并且只能由私钥进行解密,并且由私钥加密的内容可以并且只能由公钥进行解密。
3、数字证书
3.1 证书的原理
数字证书是身份鉴别的一种方式,人们可以在网上用它来识别对方的身份。因此,数字证书又被称为数字标识,它就像人的身份证一样,是由权威机构发布的来证明你身份的一种标识。数字证书使用的就是非对称加密的算法,由认证者生成密钥对,公钥和私钥,公钥和个人信息提交给认证机构,私钥自己保留。当用户要证明“你就是你”的时候,认证者将内容用私钥加密,如果用户可以用公钥解密,则证明了“你就是你”的问题。而为什么需要通过权威机构来认证呢,因为自己也可以生成密钥对,如果模仿服务器向用户发送信息,用户依然无法识别对方的身份,依然无法判断这个公钥到底是谁的,因此数字证书的出现就解决了这个问题,用户可以通过数字证书鉴别公钥的归属。
3.2 权威机构的构成
PKI:公钥基础设施的简称,利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。
CA:PKI的核心,主要职责是签发证书、更新证书、管理证书(撤销、查询、审计、统计)、验证数字证书、黑名单认证、在线认证。
RA:受理用户的数字证书申请,提供证书生命期的维护工作。
证书库:证书存放管理,信息的存储库,提供了证书的保存,修改,删除和获取的能力。
