首先，我们得搞清楚什么是数字证书，有什么作用。

数字证书是在维基百科上是这样描述的：为通信提供电子认证，用于网络身份识别。说白了就是网络中的身份证，一般用于服务器。

现实中，一般是网站的服务器向CA机构申请数字证书，用于向客户端（浏览器）证明自己的身份。在双向认证中，客户端也会申请数字证书，数字证书就跟你去公安局办身份证一样，也是要钱的。所以客户端证书一般很少，例如银行给你的U盾里就有客户端证书。数字证书在通信中向网络的一方证明数字证书持有者的身份，就像身份证证明你的身份一样。

数字证书的结构（基于 x.509 证书标准）：

1 证书格式版本号

2 证书序列号

3 证书签名算法

4 证书颁发者

5 证书有效期

6 对象的名称

7 对象的公开密钥

8 其它信息

9 证书颁发机构的数字签名 （对前面8项内容进行哈希散列形成固定摘要，加上颁发者私钥参数做参数，用证书签名算法最终形成签名）

可以做个比喻，数字证书就如现实生活中的身份证（用于证明持证人身份），CA 机构就是现实整的公安机关（颁发证件可信度高），而证书上的公钥信息就类似于身份证的照片，数字证书的签名就相当于身份证的章印（证明是公安机关的）。

申请数字证书的流程 ：

1 申请者（一般是服务器）自己生成申请证书的证书请求和私钥，证书请求一般是 cer 文件，里面包含服务器公钥等信息。

2 服务器向证书认证机构（权威CA机构）递交证书请求。

3 CA 机构核对服务器的证书请求。（核对是物理过程，很严格）

4 CA 核对完毕，会给服务器颁发数字证书server.crt（物理过程）。证书包含公钥和 CA 签名等信息。

5 申请者使用数字证书

数字证书的验证流程：

1 将证书除最后签名外的所有信息（如证书结构里的8项信息）进行哈希，生成摘要1.

2 对证书最后的数字签名，用证书的签名算法，加上证书颁发者的公钥，最后生成摘要2.（此处颁发者的公钥默认是浏览器内置的，证书最后的签名是CA签的，验证用的对应是CA的公钥）

3 对比摘要1和摘要2，若相等，则证明该数字证书是合法的机构颁发的，证书信息也是可信的

本页内容由塔灯网络科技有限公司通过网络收集编辑所得，所有资料仅供用户学习参考，本站不拥有所有权，如您认为本网页中由涉嫌抄袭的内容，请及时与我们联系，并提供相关证据，工作人员会在5工作日内联系您，一经查实，本站立刻删除侵权内容。本文链接:https://dengtar.com/20504.html