首页cnnic证书是什么 → 什么是根证书

什么是根证书


上传时间:2015-06-12 来源:cnnic证书是什么


第一篇:什么是根证书

SSL 证书是三级证书好还是二级证书好?有什么不同? 这是一个“公说公有理, 婆说婆有理”的问题, 是各个数字证书颁发机构(CA)都还在争论的问题, WoSign 本着公正的原则,整理两方的理由,供用户参考。

首先, 这里所说的“三级证书”只指用户的 SSL 证书是在“受信任的根证书颁发机构”下的“中级证书颁发 机构”下颁发的证书,而“二级证书”只指用户的 SSL 证书是直接在“受信任的根证书颁发机构”下颁发的证 书。请注意,这里的级别是指证书路径的级数(Level),要与证书的身份验证等级(Class)区分开来,Class 3 证书的身份认证过程要比 Class 2证书的身份认证过程严格。

如下图1、 图2和图3所示, 图1为 VeriSign SSL 证书, VeriSign 颁发的 SSL 证书都是三级证书;图2为 WoSign SSL 证书,WoSign 颁发的证书都是三级证书;图3为 Thawte 的超真 SSL-W 是二级证书,而 Thawte 的 SGC 证书是三级证书

(图1) (图2) (图3) 认为二级证书好的一方主要有两个理由

一是二级证书安装简单, 不用安装中级根证书;二是会加快 SSL 加密协商过程。

而认为三级证书好的也主要有两个理由:一是三级证书的安全性更好,因为 CA 可以把顶级根证书脱 机放在一个安全的地方,而联机颁发证书的是中级根证书,一旦中级根证书遭到破坏,还可以从顶级根证 书颁发一个中级根证书来重新给用户颁发证书。但如果让顶级根证书联机颁发证书,则一旦顶级根证书遭 到破坏,则是灾难性的损失,使得 CA 再也无法颁发证书了,因为根证书是无法重新设置的,重新设置的 根证书已经不是原来的根证书了;第二个理由是在中级根证书下颁发证书会大大减少证书吊销列表的容量, 从而加快每次验证 SSL 证书有效性的速度。另外,实际上在中级根证书下安装证书同二级证书安装一样容 易,因为一般由中级根证书颁发的证书都支持 PKCS#7格式(证书中已经含有中级根证书)。

根据微软网站上的有关证书服务文档,微软认为:为了根证书的安全,应该使用脱机的根证书来创建 证书层次结构,不同用途的证书使用不用的中级根证书来颁发。同时,证书颁发机构的层次结构也提供了 管理上的好处,包括

*CA 安全环境的灵活配置在安全性和可用性之间达成了一种平衡,如密钥强度、物理保护和网络保护 免受攻击。例如,可以选择在根 CA 上使用具有特别用途的加密硬件,在物理安全区对它进行操作,或脱 机进行操作。

*关闭 CA 层次结构的特定部分而不影响所建立的信任关系的能力。例如,可以很容易地关闭和吊销 与特定地理站点相关的颁发 CA 证书,而不会影响单位的其他部分。

本文由:ev ssl 证书 http://verisign.itrus.com.cn/ 整理

第一篇:什么是根证书

时间

2012.6.27 Email

troyyuan.smit@gmail.com 有错请指正 ●加密 认证 加密 是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内 容,所以数据加密可以保护数据,防止监听攻击。

其重点在于数据的安全性。

认证 是用来判断某人身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权 限。

其重点在于用户的真实性。

●秘钥(公钥,私钥) 公钥和私钥就是俗称的不对称加密,是以前的对称加密(使用用户名与密码)的提高. 每个通信方均需要一个密钥对,即公钥和私钥,这两把密钥可以互为加解密。

公钥,就是给大家用的,你可以通过电子邮件发布,可以通过网站让别人下载,公钥一般用 于加密或验章. 私钥,就是自己用的,必须非常小心保存,最好加上密码,私钥一般用于解密或签章. 公钥私钥的原则

1.一个公钥对应一个私钥。

2.密钥对中,让大家都知道的是公钥,不告诉大家,只有自己知道的,是私钥。

3.如果用其中一个密钥加密数据,则只有对应的那个密钥才可以解密。

4.如果用其中一个密钥可以进行解密数据,则该数据必然是对应的那个密钥进行的加密。

▲秘钥的 2 个作用

1 加解密 以收发加密邮件为例:我用你的公钥给这个邮件加密,这样就保证这个邮件的数据安全,你收 到邮件后,用你的私钥解密,就能看到内容。

▲秘钥的 2 个作用

2 认证 以收发加密邮件为例:我用我的私钥给这个邮件加密,发送到你手里后,你用我的公钥解密, 这样就保证了这个邮件是我发送的(私钥只有我有). ●数字签名 数字证书 根证书 ▲数字签名 是指可以添加到文件的电子安全标记。使用它可以验证文件的发送者以及帮助 验证文件自被数字签名后是否发生更改。

作文果文件没有有效的数字签名, 则无法确保该文件确实来自它所声称的源, 或者无法确保它 在发布后未被篡改(可能被病毒篡改),较为安全的做法是,不要打开该文件。

数字签名的获取和使用

1.对要发送的内容使用 hash 函数生内容的摘要(digest) 2.使用自己的私钥对摘要加密,就获得了自己的数字签名. 3.将数字签名放到要发送的内容里面,一同发送. 4.对方收到内容后,先用发送者的公钥对内容里的数字签名解密,得到内容的摘要,是否解密成 功就能证明发送人的身份. 5.然后对内容使用 hash 函数生成内容的摘要. 6.如果两个摘要一致,就证明内容没被修改过. ▲数字证书 的作用是防止公钥被篡改,也可以添加到文件. 数字签名的获取和使用

1.把 发送者的个人信息,发送者的公钥,数字证书的相关信息(比如:有效日期) 使用 CA(证书 中心)的私钥加密,再加上 CA 中心对该数字证书里面的信息的数字签名,得到的就是发送者的 数字证书.(以上步骤是在 CA 的服务器上运算的) //??? 2.将数字签名和数字证书都放到要发送的内容里面,一同发送. 3.对方接收到内容后,先用 CA 的公钥解开数字证书,就可以拿到发送者真实的公钥了, 然后就 能证明发送者的身份和接收内容是否被修改过了。

以 IE 浏览器为例,单击 工具/Internet 选项/内容/证书 就能看到"受信任的根证书颁发机构 "列表,浏览器会根据这张表,查看解开数字证书的(CA 的)公钥是否在列表之内。

▲证书中心(certificate authority,简称 CA) 也叫 认证中心,它是专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性 和公正性的第三方信任机构, 它的作用就像我们现实生活中颁发证件的公司, 如护照办理机 构。目前国内的 CA 认证中心主要分为区域性 CA 认证中心和行业性 CA 认证中心。

▲根证书 根证书,是 CA 认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个 CA 认证中心的信任。从技术上讲,数字证书包含四部分,用户的信息,用户的公钥,数字 证书的信息,还有 CA 中心对该数字证书里面的信息的数字签名, 要验证一份数字证书的真伪 (即验证 CA 中心对该数字证书信息的数字签名是否有效) ,需要用 CA 中心的公钥验证,而 CA 中心的公钥存在于对这份数字证书进行签名的数字证书 1 内,故需要下载数字证书 1, 使用数字证书 1 对数字证书验证又需先验证数字证书 1 本身的真伪, 故又要用签发数字证书 1 的数字证书 2 来验证,这样一来就构成一条数字证书验证链,这条数字证书验证链在哪里 终结呢?答案就是根证书,根证书是一份特殊的数字证书,它的签发者是它本身,下载根证 书就表明您对该根证书以下所签发的数字证书都表示信任, 数字证书的验证追溯至根证书即 为结束。所以说用户在使用数字证书之前必须先下载根证书。

第一篇:什么是根证书

中 铁 CA 根 证 书 安 装 说 明 尊敬的用户

您现在安装的是中铁数字证书认证中心(中铁 CA,SRCA)的根证书,完成 这个操作可以使您的购票体验更为顺畅,同时获得一个更安全的网络购票环境。

中铁 CA 是由工业和信息化部审批通过的合法电子认证服务机构,该产品及相关 操作不会对您的计算机构成危害,请您放心使用。 步骤一:双击根证书文件 弹 出证书属性的对话框,此时该根证书并 不受信任,我们需要将其加入“受信任 的根证书颁发机构” ,如右图所示: 步骤二:点击“安装 证书” ,弹出证书导入向 导,如右图所示: 步骤三:点击下一 步,选择证书的存储区, 如右图所示: 步骤四:选择“将所有的证书放入 下列存储区” ,然后点击下一步,选择证 书存储,如右图所示: 步骤五:在“选择证书存储” 对话框中选择“受信任的根证书 颁发机构” ,点击确定,此时返回 到证书导入向导页面,如右图所 示: 步骤六:在证书导入向导页面, 证书存储变为 “受信任的根证书颁发机 构” ,点击下一步 步骤七:点击“完成” ,此时会弹出安全警告,如下图所示: 步骤八:点击“是” ,安装该证书。

此时所有操作完成, 成功将 SRCA 加入 “受 信任的根证书颁发机构” 再次双击 。 ,如右图所示: 此时 SRCA 为受信任状态。欢迎您继续体验 www.12306.cn 提供的服务。 中国铁路客户服务中心 2011 年 6 月 11 日