76093高级程 Chinapub coM 表25-1证书的典型结构 字段 Version Serial number 6F314B0248C6243D2FCD6B7BDC881D8 Sign algorithm RSA(512位) Issuer ensIgn In Initial date Expiration date 07/070023.59.59 Owner's name John smith Owner's public key 3047024007E9C8F3EDEC8ADA4C57A46F1C9D07BF BEF54680B4FD3CF9E406465A702030100016A72F1 存储在证书字段中的有些信息将在以后的章节内详细讲述。表25-1说明的是证书所必需 的基本结构。注意,证书本身并不能确认个人的身份,任何人都可根据标准格式创建和发布 证书。发布证书的系统要遵守一些非常严格的标准,这样证书才能提供我们所要的安全性。 2.证书机构 在标准证书格式所需的信息中,注意一下证书机构( Certificate Authority,CA),也就是 表25-1中的发行者( Issuer)。CA是负责确认公共密钥的匹配的一个受信任的第三方伙伴,即 它证实某一公共密钥是属于已知用户的。CA负责发布、撤消、刷新数字证书以及为数字证书 提供目录。在为个人或组织发证书前,CA必须经过严格的过程才确认他们。这就确保了该密 钥匹配过程的合法性。CA可以被认为是 Internet上的公证人 表25-1显示的证书结构有两项与CA有关的字段: Issuer与 Issuer's signature。这说明CA 确保它所存储的公共密钥属于证书的持有者。这种办法只是将个人可信性转变为CA的可信 性问题。但谁又能保证CA是可信的?回答这个问题并不简单。但是,信任是CA存在的基 目前,许多组织提供证书服务。由于电子商务的需要,这种组织日益增多。表25-2显示 些知名的CA和他们的网址。 表25-2一些知名的CA和他们的网址 机构名称 URL Belser www.belsign.be Certisign Certificadora Digita www.certsign.com.br COST ww. cost. se Entrust Technologies trust. com Www. GTE CyberTrust www.cybertrust.gte.com www.interclear.co.u Keywitness SETco www.thawte.com Xcert Software www.xcert.com 当两个用户或两个组织交换他们的证书后,只要他们信任发布证书的CA,就可以确认对表25-1 证书的典型结构 字 段 内 容 Ve r s i o n V 3 Serial Number 6 F 3 1 4 B 0 2 4 8 C 6 2 4 3 D 2 F C D 6 B 7 B D C 8 8 1 D 8 3 S i g n . A l g o r i t h m RSA(512 位) I s s u e r VeriSign Inc. Initial date 07/08/99 0.00.00 Expiration date 07/07/00 23.59.59 O w n e r’s name John Smith O w n e r’s public key 3 0 4 7 0 2 4 0 0 7 E 9 C 8 F 3 E D E C 8 A D A 4 C 5 7 A 4 6 F 1 C 9 D 0 7 B F 0… I s s u e r’s signature 9 B E F 5 4 6 8 0 B 4 F D 3 C F 9 E 4 0 6 4 6 5 A 7 0 2 0 3 0 1 0 0 0 1 6 A 7 2 F 1… 存储在证书字段中的有些信息将在以后的章节内详细讲述。表 2 5 - 1说明的是证书所必需 的基本结构。注意，证书本身并不能确认个人的身份，任何人都可根据标准格式创建和发布 证书。发布证书的系统要遵守一些非常严格的标准，这样证书才能提供我们所要的安全性。 2. 证书机构 在标准证书格式所需的信息中，注意一下证书机构（ Certificate Authority，C A），也就是 表2 5 - 1中的发行者（I s s u e r）。C A是负责确认公共密钥的匹配的一个受信任的第三方伙伴，即 它证实某一公共密钥是属于已知用户的。 C A负责发布、撤消、刷新数字证书以及为数字证书 提供目录。在为个人或组织发证书前， C A必须经过严格的过程才确认他们。这就确保了该密 钥匹配过程的合法性。C A可以被认为是I n t e r n e t上的公证人。 表2 5 - 1显示的证书结构有两项与 C A有关的字段： I s s u e r与I s s u e r’ s signature。这说明C A 确保它所存储的公共密钥属于证书的持有者。这种办法只是将个人可信性转变为 C A的可信 性问题。但谁又能保证 C A是可信的？回答这个问题并不简单。但是，信任是 C A存在的基 础。 目前，许多组织提供证书服务。由于电子商务的需要，这种组织日益增多。表 2 5 - 2显示 了一些知名的C A和他们的网址。 表25-2 一些知名的C A和他们的网址 机 构 名 称 U R L B e l s i g n w w w. b e l s i g n . b e Certisign Certificadora Di g i t a l w w w. c e r t s i g n . c o m . b r C O S T w w w. c o s t . s e Entrust Technologies w w w. e n t r u s t . c o m E u r o S i g n w w w. e u r o s i g n . c o m GTE CyberTr u s t w w w. c y b e r t r u s t . g t e . c o m I n t e r C l e a r w w w. i n t e r c l e a r. c o . u k Keywitness w w w. k e y w i t n e s s . c a S E Tc o w w w. s e t c o . o rg T h a w t e w w w. t h a w t e . c o m Ve r i s i g n w w w. v e r i s i g n . c o m Xcert Software w w w. x c e r t . c o m 当两个用户或两个组织交换他们的证书后，只要他们信任发布证书的 C A，就可以确认对 760计计ASP 3 高级编程 下载