第5章证的使用761 下载 方的身份。每个证书都包含持有者的公共密钥,因此,可以用它加密数据发送给证书的持有 者。证书还包含CA的数字签名,这就确保没有人修改过证书,它所存储的信息准确无误。 数字签名是文档建立者用私有密钥制作的。因此,为了确认证书是由特定的CA签发的, 就需要CA的公共密钥。在25.5节中会看到,多数CA的公共密钥通常与浏览器、电子邮件程序 以及其他软件包一起分发。这样用户就可以确认某一证书的可靠性。 3.证书的类型 Internet上常用的数字证书有四种,每一种都有其特定的作用范围: ·服务器证书( Server Certificate):即 Server id。这些证书允许确认使用安全通信协议 (如SSL)的服务器的身份。用户可以在发送秘密信息前确认服务器或Web站点的身份 个人证书( Personal certificate):用于确认个人。服务器可以用他们来鉴别用户,或安 全发送电子邮件。 ·软件发布者证书( Software publisher Certificate):用来给在 Internet上发布的软件签名 它们解决了目前软件产业面临的一个重大问题,即用户怎样才能相信 Internet上发布的 代码。软件包用商标和密封包装使用户相信他们的完整性,商标代表着信用和声誉,密 封包装则保证封装后就没人动过它。但在 Internet上发布的代码没有这些安全保证。为 了提供这种保证,软件发行商就需要一个数字的安全保证,代码签名就是 Internet上的 商标和密封包装。然而软件发布者证书不能确保签名的代码可以安全运行或没有错误。 ·CA证书( Certificate Authority Certificate),用于确认CA。这种类型的证书需要做出 些解释。CA可以分为两大类:根CA和中介CA。它们的区别在于,根CA可以发布任 何形式的证书,并由本身确认。而中介CA除了不能发布其本身的证书外,可以发布其 他任何形式的证书。根CA证书是唯一一种发布者和持有者是同一人的证书。根CA可 以给中介CA发布证书,而且中介CA可以给其他中介CA发布证书。CA发布给其他CA 的证书就是CA证书,这就有了证书的层次结构,每一层都向他的发布者寻求信誉担保 直到根CA。这个层次结构就是CA链。这种CA的层次结构来自于它的组织形式,如地 理位置、发给的证书类型、管理的方便性等。 图25-4显示了基于地理位置和发给的证书类型的CA链的示例 根CA 美国CA 中介C 欧洲CA 个人证书CA (服务器证书C 个人证书CA 服务器证书CA 图25-4CA链的示例 这种层次结构主要优点是只要信任相应的根CA,就可以信任证书。也就是说只要相信 CA链的根CA,就可以相信每个中介CA。方的身份。每个证书都包含持有者的公共密钥，因此，可以用它加密数据发送给证书的持有 者。证书还包含C A的数字签名，这就确保没有人修改过证书，它所存储的信息准确无误。 数字签名是文档建立者用私有密钥制作的。因此，为了确认证书是由特定的 C A签发的， 就需要C A的公共密钥。在2 5 . 5节中会看到，多数C A的公共密钥通常与浏览器、电子邮件程序 以及其他软件包一起分发。这样用户就可以确认某一证书的可靠性。 3. 证书的类型 I n t e r n e t上常用的数字证书有四种，每一种都有其特定的作用范围： • 服务器证书（ Server Certificate）：即Server ID。这些证书允许确认使用安全通信协议 （如S S L）的服务器的身份。用户可以在发送秘密信息前确认服务器或 We b站点的身份。 • 个人证书（Personal Certificate）：用于确认个人。服务器可以用他们来鉴别用户，或安 全发送电子邮件。 • 软件发布者证书（Software Publisher Certificate）：用来给在I n t e r n e t上发布的软件签名。 它们解决了目前软件产业面临的一个重大问题，即用户怎样才能相信 I n t e r n e t上发布的 代码。软件包用商标和密封包装使用户相信他们的完整性，商标代表着信用和声誉，密 封包装则保证封装后就没人动过它。但在 I n t e r n e t上发布的代码没有这些安全保证。为 了提供这种保证，软件发行商就需要一个数字的安全保证，代码签名就是 I n t e r n e t上的 商标和密封包装。然而软件发布者证书不能确保签名的代码可以安全运行或没有错误。 • C A证书（Certificate Authority Certificate），用于确认C A。这种类型的证书需要做出一 些解释。C A可以分为两大类：根 C A和中介 C A。它们的区别在于，根 C A可以发布任 何形式的证书，并由本身确认。而中介 C A除了不能发布其本身的证书外，可以发布其 他任何形式的证书。根 CA 证书是唯一一种发布者和持有者是同一人的证书。根 CA 可 以给中介 C A发布证书，而且中介 C A可以给其他中介 C A发布证书。C A发布给其他C A 的证书就是C A证书，这就有了证书的层次结构，每一层都向他的发布者寻求信誉担保， 直到根 C A。这个层次结构就是 C A链。这种C A的层次结构来自于它的组织形式，如地 理位置、发给的证书类型、管理的方便性等。 图2 5 - 4显示了基于地理位置和发给的证书类型的 C A链的示例。 图25-4 CA 链的示例 这种层次结构主要优点是只要信任相应的根 C A，就可以信任证书。也就是说只要相信 C A链的根C A，就可以相信每个中介C A。 第25章 证书的使用计计761 下载 根CA 美国CA 中介CA 欧洲CA 个人证书CA 服务器证书CA 个人证书CA 服务器证书CA