什么是數(shù)字簽名證書？證書如何生成？

在這個網(wǎng)絡(luò)信息時代，各類信息滿天飛，信息安全的重要性和必要性成為了人們關(guān)注的要點。信息安全有三個問題待解決：一是信息的保密性，即指信息在傳輸過程中不被泄密；二是信息的完整性，信息在傳輸過程中不被篡改；三是信息的有效性，即信息的使用者合法。這三個要素又被稱為CIA Triad。

在日常生活中，個人簽名，手寫簽名用的很多，即類似于個人的一個身份信息確認(rèn)。計算機中，數(shù)字簽名也是相同的含義：證明消息是某個特定的人，而不是隨隨便便一個人發(fā)送的（有效性）；除此之外，數(shù)字簽名還能證明消息沒有被篡改（完整性）。

其實簡單的說，數(shù)字簽名（digital signature）是公鑰密碼的逆應(yīng)用：用私鑰加密消息，用公鑰解密消息。

什么是數(shù)字簽名證書？

數(shù)字簽名證書實際上就是對公鑰進行數(shù)字簽名，它是對公鑰合法性提供證明的技術(shù)。 

考慮這樣一種場景：我們對簽名進行驗證時，需要用到公鑰。如果公鑰也是偽造的，那怎么辦？如果公鑰是假的，驗證數(shù)字簽名那就無從談起，根本不可能從數(shù)字簽名確定對方的合法性。

這時候數(shù)字簽名證書就派上用場了。證書一般包含：公鑰（記住證書中是帶有公鑰的），公鑰的數(shù)字簽名，公鑰擁有者的信息。若數(shù)字簽名證書驗證成功，這表示該公鑰是合法，可信的。 

接下來又有問題了：驗證證書中的數(shù)字簽名需要另一個公鑰，那么這個公鑰的合法性又該如何保證？該問題可以無限循環(huán)下去，豈不是到不了頭了？這已經(jīng)是個社會學(xué)問題了。我們?yōu)槭裁窗彦X存進銀行？因為我們相信銀行，它是一個可信的機構(gòu)（雖然也有破產(chǎn)的風(fēng)險）。跟銀行一樣，我們需要一個可信的機構(gòu)來頒發(fā)證書和提供公鑰，只要是它提供的公鑰，我們就相信是合法的。

這種機構(gòu)稱為認(rèn)證機構(gòu)(Certification Authority， CA)。CA就是能夠認(rèn)定”公鑰確實屬于此人”，并能生成公鑰的數(shù)字簽名的組織或機構(gòu)。CA有國際性組織和政府設(shè)立的組織，也有通過提供認(rèn)證服務(wù)來盈利的組織。

如何生成數(shù)字簽名證書？

1.服務(wù)器將公鑰A給CA（公鑰是服務(wù)器的）

2.CA用自己的私鑰B給公鑰A加密，生成數(shù)字簽名A

3.CA把公鑰A，數(shù)字簽名A，附加一些服務(wù)器信息整合在一起，生成證書，發(fā)回給服務(wù)器。

注：私鑰B是用于加密公鑰A的，私鑰B和公鑰A并不是配對的。

如何驗證數(shù)字簽名證書？

1. 客戶端得到證書

2. 客戶端得到證書的公鑰B（通過CA或其它途徑）

3. 客戶端用公鑰B對證書中的數(shù)字簽名解密，得到哈希值

4. 客戶端對公鑰進行哈希值計算

5. 兩個哈希值對比，如果相同，則證書合法。

注：公鑰B和上述的私鑰B是配對的，分別用于對證書的驗證（解密）和生成（加密）。