數(shù)字簽名證書(shū)是什么？如何生成？

在網(wǎng)絡(luò)信息時(shí)代，人們?cè)絹?lái)越關(guān)注信息安全問(wèn)題。如何保障信息在傳輸過(guò)程中不被泄密？如何保障信息在傳輸過(guò)程中不被篡改？如何驗(yàn)證信息的使用者合法？毫無(wú)疑問(wèn)，這三個(gè)問(wèn)題的解決都需要通過(guò)技術(shù)手段來(lái)實(shí)現(xiàn)。今天我們要了解的就是其中一種——數(shù)字簽名證書(shū)。

數(shù)字簽名證書(shū)同手寫(xiě)簽名有類(lèi)似的功能，它們都是對(duì)個(gè)人身份信息的確認(rèn)。但是，在互聯(lián)網(wǎng)世界，數(shù)字簽名還能確保信息的完整性，證明消息沒(méi)有被篡改。

數(shù)字簽名證書(shū)是什么？

數(shù)字簽名證書(shū)是對(duì)公鑰進(jìn)行數(shù)字簽名，對(duì)公鑰合法性提供證明的技術(shù)。簡(jiǎn)單來(lái)說(shuō)，數(shù)字簽名（digital signature）是公鑰密碼的逆應(yīng)用：用私鑰加密消息，用公鑰解密消息。

數(shù)字簽名證書(shū)如何發(fā)揮作用？我們通過(guò)以下場(chǎng)景來(lái)理解：

當(dāng)我們對(duì)簽名進(jìn)行驗(yàn)證時(shí)，需要用到公鑰。如果公鑰是假的，則驗(yàn)證無(wú)從談起。

數(shù)字簽名證書(shū)包含公鑰、公鑰的數(shù)字簽名、公鑰擁有者的信息。若數(shù)字簽名證書(shū)驗(yàn)證成功，則表示該公鑰是合法可信的。

那么下面又有另一個(gè)問(wèn)題：驗(yàn)證證書(shū)中的數(shù)字簽名需要另一個(gè)公鑰，那這個(gè)公鑰的合法性又該如何保證？

這個(gè)時(shí)候就需要一個(gè)可信的機(jī)構(gòu)來(lái)頒發(fā)證書(shū)和提供公鑰，只要是它提供的公鑰，我們就相信是合法的。

這種機(jī)構(gòu)叫做認(rèn)證機(jī)構(gòu)(Certification Authority， CA)。CA分為國(guó)際性組織和政府設(shè)立的組織和通過(guò)提供認(rèn)證服務(wù)來(lái)盈利的組織。CA能夠生成公鑰并認(rèn)定“公鑰確實(shí)屬于此人”。

如何生成數(shù)字簽名證書(shū)？

1. 服務(wù)器將公鑰A給CA（公鑰是服務(wù)器的）

2. CA用自己的私鑰B給公鑰A加密，生成數(shù)字簽名A

3. CA把公鑰A，數(shù)字簽名A，附加一些服務(wù)器信息整合在一起，生成證書(shū)，發(fā)回給服務(wù)器。

注：私鑰B是用于加密公鑰A的，私鑰B和公鑰A并不是配對(duì)的。

如何驗(yàn)證數(shù)字簽名證書(shū)？

1. 客戶(hù)端得到證書(shū)

2. 客戶(hù)端得到證書(shū)的公鑰B（通過(guò)CA或其它途徑）

3. 客戶(hù)端用公鑰B對(duì)證書(shū)中的數(shù)字簽名解密，得到哈希值

4. 客戶(hù)端對(duì)公鑰進(jìn)行哈希值計(jì)算

5. 兩個(gè)哈希值對(duì)比，如果相同，則證書(shū)合法。

注：公鑰B和上述的私鑰B是配對(duì)的，分別用于對(duì)證書(shū)的驗(yàn)證（解密）和生成（加密）。