數字證書(Digital Certificate)是網絡通信中標志通信各方身份信息的一系列數據,它提供了一種在網絡上驗證實體身份的方式,其作用類似于日常生活中的駕駛執照或身份證。它是一個由權威機構--證書授權(Certificate Authority)中心,又稱CA中心發行的,人們可以在交往中用它來識別對方的身份。
數字證書是由一個獨立的且受信任的第三方(CA中心)數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等信息。
個人(公司、機構)證書和網絡服務器的證書使用基本相同的格式,但服務器證書的“Common Name”屬性通常設置為域名模式,如web.pphpt.com,而個人(公司、機構)證書的該屬性設置為其完整的名稱。
數字證書的工作過程很容易理解:想發送加密消息的實體(個人、公司、機構或代表它們的網絡服務器)向CA機構提交申請,CA就向其發放一個包含了申請者公開密鑰和其他身份信息的加密了的數字證書。CA必須已經將自己的公開密鑰向公眾發布或可以從Internet上獲取。加密消息的接收方使用CA的公開密鑰來解開附接在消息上的數字證書,并驗證證書確實是由CA發放的,然后獲得證書中發送者的公開密鑰和身份信息。有了這些信息,接收方可以發送加密的應答消息。圖1是認證過程的示意圖。
證書的格式通常遵循ITUT X.509國際標準,但并非一定如此。X.509實際上是一個ITU建議(recommendation),目前是第3版。因此,各家公司可以按不同的方式來實現這個標準。例如,Netscape和Microsoft都在它們的Web服務器和瀏覽器中使用X.509證書實現SSL(安全套接字層,Secure Sockets Layer),但Netscape生成的X.509證書不能被Microsoft的產品讀取,反之亦然。一個標準的X.509數字證書包括的內容詳見下表1。
那么,為什么要使用數字證書呢?由于Internet電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須相信在Internet上進行的一切金融交易運作都是真實可靠的,并且要使顧客、商家和企業等交易各方都具有絕對的信心,因而Internet電子商務系統必須保證具有十分可靠的安全保密技術,也就是說,必須保證網絡安全的四大要素,即信息傳輸的保密性、交易者身份的確定性、發送信息的不可否認性和交換數據的不可修改性。數字證書是SSL協議的一部分。
