数字证书
身份验证对于保护通信至关重要。 用户必须可以向与其通信的人证明自己的身份,并且必须能够验证他人的身份。 网络上的身份验证很复杂,因为通信各方在通信时不在同一物理位置。 这会让不道德者有机会截获消息或冒充他人或实体。 必须制定一种方法,以在通信过程中保持必要的信任级别。
数字证书是一种通用凭据,可提供验证身份的方法。 本部分概述证书如何提供安全通信,以及如何使用 CryptoAPI 使用这些证书并管理这些证书。
证书是标识实体的一组数据。 受信任的组织将证书分配给将公钥与个人关联的个人或实体。 向其颁发证书的个人或实体称为该证书的主题。 颁发证书的受信任组织是 CA) (证书颁发机构 ,称为证书颁发者。 可信 CA 仅在验证证书使用者的身份后颁发证书。
证书使用加密技术来解决通信之间缺乏物理接触的问题。 使用这些技术可限制不道德的人截获、更改或伪造消息的可能性。 这些加密技术使得证书难以修改。 因此,实体很难模拟其他人。
证书中的数据包括证书使用者的公钥 /私钥对中的公共加密密钥。 使用发件人私钥签名的邮件只能由邮件的收件人使用发件人的公钥检索。 可以在发件人证书的副本上找到此密钥。 从证书中检索具有 公钥 的签名可以证明签名是使用证书使用者的 私钥生成的。 如果发送方一直保持警惕并保留私钥机密,则接收方可以确信消息发送者的标识。
在网络上,通常有一个称为 证书服务器的受信任应用程序。 在安全计算机上运行的 CA 管理证书服务器。 此应用程序有权访问其所有客户端的公钥。 证书服务器分发称为证书的消息,每个消息都包含其客户端用户之一的公钥。 每个证书都使用 CA 的私钥进行签名。 因此,此类证书的接收方可以验证指定的 CA 是否发送了该证书。
数字证书还包括扩展和扩展属性,这些扩展和扩展属性提供有关证书使用者的其他信息,例如使用者的电子邮件地址以及证书使用者可以执行的活动。