保護數字證書

㈠ 如何保護自己的企業數字證書

數字證書里主要是有私鑰，保護數字證書也就是保障私鑰的安全。

私鑰的保存有兩種方式：
1、以文件的形式保存在你的硬碟中，
2、產生私鑰時，瀏覽器會要求你提供密碼，通過密碼來保護私鑰的安全。
下列情況下第三方可以訪問到你的私鑰：1、能夠訪問用於存儲密鑰的文件（該文件往往是你的計算機系統配置文件的一部分）；2、知道保護私鑰的密碼。某些軟體允許你選擇不使用密碼來保護你的私鑰，如果選擇了該選項，你必須確信現在或者將來不會有人在非授權的情況下使用你的計算機。

我該怎樣保存我的私鑰？
通過物理的安全保護來保護你的計算機不被非授權使用。要使用訪問控制產品或者操作系統保護措施（例如系統密碼），採取措施來防病毒，因為病毒能攻擊私鑰。一般選擇一個好的密碼來保護私鑰。

我需要在家裡和辦公室都使用我的數字證書，我可以安全的在計算機之間移動我的私鑰和數字證書嗎？
在計算機之間移動密鑰和數字證書是可能的，只要兩台計算機都使用同樣的軟體。你需要詢問軟體供應商是否有這樣的軟體應用。在你打算移動密鑰時，使用安全的密碼來保護你的密鑰是非常重要的。

我忘了我的私鑰密碼，有人能幫我更換掉它嗎？
不能。如果你忘了你的私鑰密碼，沒有人能幫助你。你只能產生新的密鑰對和獲得新的證書。所有用你的公鑰加密的安全電子郵件都會失效，除非你的PKI體系具有密鑰備份和密鑰恢復系統並且該系統已經備份了你的私鑰（該方式一般在支持雙密鑰對體系中）。有些情況下，你還需要重新安裝你的電子郵件程序和網路瀏覽器。

有人偷了我的計算機，而我已經選擇不要密碼保護我的私鑰，我現在該怎麼辦？
你應該立即通知CA數字證書受理點，你的私鑰受到安全威脅，它會安排撤銷你的證書並給你頒發新的證書。注意：雖然關系夥伴一般都會檢查證書的撤銷狀態，但仍然有些不會去這么做。最好的辦法是通知所有可能受到影響的人你的私鑰已經不安全了。

有人偷了我的計算機，他們現在擁有我的證書的私鑰嗎？
如果你使用了一個好的密碼來保護你的私鑰，那別人就不可能使用你的私鑰。你應該和給你發證的CA中心聯系，要求廢除你的證書，然後給你發放一個新的證書（有新的密鑰對）。

另外匯信科技的e照通服務可以很好的解決企業數字證書安全等一系列相關問題，幫您很好的承擔了的風險，希望以上回答能解決您的疑惑。

㈡ 如何保護數字證書和私鑰

需要澄清的概念 一、關於私鑰的唯一性 嚴格地講，私鑰既然是世上唯一且只由主體本身持有，它就必須由主體的計算機程序來生成。因為如果在別處生成將會有被拷貝的機會。然而在實際應用上並非如此，出於某些特殊需要(例如，如果只有一份私鑰，單位的加密文件就會因為離職員工帶走私鑰而無法解密。)加密用的公/私鑰對會要求在可信的第三方儲存其備份。這樣，加密用的私鑰可能並不唯一。然而簽名用的私鑰則必須保持唯一，否則就無法保證被簽名信息的不可否認性。 在生成用戶的密鑰對時，用於加密的公/私鑰對可以由CA、RA產生，也可以在用戶終端的機器上用專用的程序(如瀏覽器程序或認證軟體)來產生。用於數字簽名的密鑰對原則上只能由用戶終端的程序自行產生，才能保證私鑰信息的私密性以及通信信息的不可否認性。 我們常常聽到有人說：保管好你的軟盤，保管好你的KEY，不要讓別人盜用你的證書。有些教科書上也這樣講。應該說，這句話是有毛病的。數字證書可以在網上公開，並不怕別人盜用和篡改。因為證書的盜用者在沒有掌握相應的私鑰的情況下，盜用別人的證書既不能完成加密通信，又不能實現數字簽名，沒有任何實際用處。而且，由於有CA對證書內容進行了數字簽名，在網上公開的證書也不怕黑客篡改。我們說，更該得到保護的是儲存在介質中的私鑰。如果黑客同時盜走了證書和私鑰，危險就會降臨。 不同的存儲介質，安全性是不同的。如果證書和私鑰儲存在計算機的硬碟里，計算機一旦受到黑客攻擊，(例如被埋置了木馬程序)證書和私鑰就可能被盜用。 使用軟盤或存儲型IC卡來保存證書和私鑰，安全性要比硬碟好一些，因為這兩種介質僅僅在使用時才與電腦相連，用完後即被拔下，證書和私鑰被竊取的可能性有所降低。但是黑客還是有機會，由於軟盤和存儲型IC卡不具備計算能力，在進行加密運算時，用戶的私鑰必須被調出軟盤或IC卡進入外部的電腦，在這個過程中就會造成一定的安全隱患。 產生公私密鑰對的程序(指令集)是智能卡生產者燒制在晶元中的ROM中的，密碼演算法程序也是燒制在ROM中。公私密鑰對在智能卡中生成後，公鑰可以導出到卡外，而私鑰則存儲於晶元中的密鑰區，不允許外部訪問。 USB Key和智能卡除了I/O物理介面不一樣以外，內部結構和技術是完全一樣的，其安全性也一樣。只不過智能卡需要通過讀卡器接到電腦的串列介面上，而USB Key通過電腦的通用串列匯流排(USB)介面直接與電腦相接。另外，USB介面的通信速度要遠遠高於串列介面的通信速度。現在出品的電腦已經把USB介面作為標准配置，而使用智能卡則需要加配讀卡器。出於以上原因，各家CA都把USB Key作為首選的證書和私鑰存儲介質而加以推廣。 為了防止USB key 不慎丟失而可能被他人盜用，不少證書應用系統在使用過程中還設置了口令認證機制。如口令輸入得不對，即使掌握了USB key，也不能登錄進入應用系統。

㈢ 數字證書有哪幾種

數字證書與身份證都是由專門的機構來簽發。身份證通常由公安局來簽發，上面蓋有簽發單位的公章。而受電子簽名法保護的數字證書則是由國家許可的第三方數字認證中心來簽發。工信部通過資質審核確定一些服務機構可以對外提供數字認證服務，比如業內較為有影響的天威誠信數字認證中心對此按興趣的可以去網站上多了解些行業信息。具體說到種類分為：
伺服器證書(SSL證書)、電子郵件證書、客戶端個人證書、企業證書、代碼簽名證書

㈣ 怎樣保護好你的數字證書和數字簽名麻煩告訴我

讀者看到了這個題目，可能會產生這樣的疑問：數字證書和數字簽名本來就是網銀交易的安全保護者，怎麼它們自己還需要保護呢？是的！它們也需要保護，正如戰士的槍是殺敵和自衛的武器，但槍本身也需要保護一樣。下面，分兩個方面講講這個問題。 數字證書和雙因素認證 現在，大多數銀行都建議網上銀行客戶使用隨身攜帶的移動證書（工商銀行稱其為「U盾」）。這種放在USB Key中的數字證書在使用時私鑰不出界面，介面上輸入輸出的數據全是加了密的密文，黑客無法截獲有用信息，也無法竊取私鑰造假，有效地保護了網銀交易的安全。但是，如果移動證書一旦遺失，就會造成被人冒用的危險。因此，銀行也會告誡用戶，遺失移動證書的客戶應及時到銀行掛失，重新領取證書。新證書的密鑰要重新換過，老證書被作廢，這就避免了證書遺失後被人冒用的危險。 但是，從證書遺失或被竊，到客戶發現遺失，去銀行掛失，然後到銀行將老證書作廢，給客戶換發新證書等等，這個過程是需要一定的時間的。如果不法分子在拿到證書後立即作案，你還是來不及避免損失。這可怎麼辦呢？ 為了避免這種情況，對證書就需要採取一定的保護措施。一方面，客戶需要妥善地保管自己的數字證書，不遺失不被竊，還要養成良好習慣，網銀交易完成後要立即拔下移動證書，避免被他人冒用；另一方面，從技術上要採取保護措施，例如要設置雙因素認證機制。 什麼是雙因素認證機制呢？簡單地講，就是用兩種不同的方法和途徑（即因素）來進行身份認證。 從安全理論上講，身份認證的因素可以分成三類： 第一類因素是認證對象「所知道的內容」，例如口令密碼和身份證號碼等。這需要使用者記憶。 第二類因素是認證對象「所擁有的物品」，例如數字證書、銀行卡、身份證、權威機構的證明信等。在線下交易中，認證對象所擁有的物品需要隨身攜帶，但在網上交易中，銀行卡、身份證、權威機構的證明信就無法使用了，只有數字證書靠著特殊的PKI技術，可以看作是認證對象所擁有的物品。 第三類因素是認證對象「所具備的特徵」，例如面容、指紋、瞳孔、聲音等。這是認證對象本身擁有的惟一特徵，一般用於現場認證，現在通過特殊的裝置也可以用於網上認證。 單獨來看，這三個因素中的任何一個都有問題。「所擁有的物品」可以被盜走；「所知道的內容」可以被猜出、被分享，復雜的內容可能會忘記；「所具備的特徵」最為簡單而強大，生物特徵隨身自帶，重現率極低且極不易仿冒，但是代價昂貴，一般用在頂級安全需求中。 把以上三種認證因素中的任意兩種結合起來形成雙重認證，就是雙因素認證機制。顯然，雙因素認證機制要比單因素認證機制更為安全。 現在，我們回過頭來說證書的保護。 如果客戶在領取證書的同時，銀行為證書設置一個密碼口令，要求在網上交易使用證書時，先要客戶回答口令，不能正確回答口令者就不能使用證書。那麼，即使證書遺失或被盜，不法分子拿到證書也完成不了網銀交易，這就相當於為證書加了一道防護鎖。 從理論上講，這里使用了雙因素認證機制：認證對象所擁有的物品—數字證書，以及認證對象所知道的內容—密碼口令。 數字簽名和「所見即所簽」 在《正確使用和保管你的數字證書》一文中，我們介紹了USB Key數字證書的安全性可靠性，在目前的技術條件下，還沒有人能攻破USB Key數字證書的安全防護和密碼機制。具體的實例是工商銀行數百萬U盾用戶中，至今還沒有一例網銀盜竊案件發生。 但是世上沒有絕對的事情，就算我們把USB Key數字證書，以及用USB Key中保存的私鑰所做的數字簽名看成是絕對可靠，黑客還是有可能通過別的途徑來達到它實行網銀詐騙的目的。這件事有點像二戰時期馬奇諾防線的故事，法國人把正面的馬奇諾防線修得固若金湯，但狡猾的德國人繞過馬奇諾防線，取道第三國，從側面攻入了法國。 為了保證網銀交易的數據（例如對方的帳號、轉賬金額等）不被篡改，客戶要對這些數據用自己的私鑰做數字簽名。經過簽名後，如果黑客再作任何篡改，銀行立即就能發現，拒絕完成交易。使用USB Key數字證書更加保險，簽名過程在USB Key的晶元中自行完成，私鑰不出界面，避免被黑客截獲。這個數字簽名的機制應該說是極其安全的，堅固的密碼體制就像馬奇諾防線一樣牢不可破。 然而還存在著一種可能，那就是黑客在客戶的電腦里埋植了木馬，當應用程序把網銀數據從PC送往USB Key進行數字簽名時，木馬程序在內部匯流排上截獲這些數據，這時候它們還沒有被加密，是以明碼形式存在的。然後木馬程序把數據進行篡改（如將本應劃給張三的賬款，劃到黑客賬戶上，或改變劃款金額等），再送到USB Key進行數字簽名。這時候銀行並不知道數據已被篡改，它收到由客戶數字簽名的交易數據後驗簽無誤，便按照篡改後的支付指令進行轉帳。而客戶也不知道數據已被篡改，因為銀行回答客戶的交易成功的消息也會被木馬按照正確的數字改回來，顯示在客戶的屏幕上。客戶看到正確的確認消息，也就不加懷疑，以為一切正常。殊不知交易已被偷梁換柱，賬戶上的錢已被巧妙地竊走。 好了，黑客繞過了「馬奇諾防線」，從側面實現了網銀盜竊的目的。 對付這種偷梁換柱的伎倆，安全專家也有招數，那就是所謂「所見即所簽」的安全策略。具體的做法是：在USB Key上加一個小液晶屏，讓它在客戶進行數字簽名前，顯示即將被簽的交易數據，客戶只有看到了正確的數據，才會執行簽名的操作。如木馬程序把數據進行了篡改，客戶會立即發現而拒絕簽名，交易也就失敗，帳款就不會丟失。 那也許有人問，木馬要是鑽到USB Key里去篡改數據怎麼辦呢？這我們在上一篇文章中已經說過了，USB Key的設計只允許應用程序在其界面外作API調用，輸入參數、數據和命令，啟動USB Key內部的數字簽名運算、密碼運算等，並獲得返回結果。任何程序不允許進入USB Key界面以內進行操作。這就堵住了黑客/木馬偷梁換柱的路。

㈤ 如何保護自己的數字證書

我在家裡不同的電腦上都有副本，同時為了以防萬一，有個不用的U盤考了一份

㈥ 數字證書是什麼

由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險. 為了保證互聯網上電子交易及支付的安全性,保密性等，防範交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，並且在網上能夠有效無誤的被進行驗證。數字證書是一種權威性的電子文檔。它提供了一種在Internet上驗證您身份的方式，其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構----CA證書授權(Certificate Authority)中心發行的，人們可以在互聯網交往中用它來識別對方的身份。當然在數字證書認證的過程中，證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的。 如何判斷數字認證中心公正第三方的地位是權威可信的，國家工業和信息化部以資質合規的方式，陸續向天威誠信數字認證中心等30家相關機構頒發了從業資質。 數字證書也必須具有唯一性和可靠性。為了達到這一目的，需要採用很多技術來實現。通常，數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題，用戶可以公開其公開密鑰，而保留其私有密鑰。 數字證書頒發過程一般為：用戶首先產生自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同，每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。 基於數字證書的應用角度分類，數字證書可以分為以下幾種：伺服器證書 伺服器證書被安裝於伺服器設備上，用來證明伺服器的身份和進行通信加密。伺服器證書可以用來防止假冒站點。 在伺服器上安裝伺服器證書後，客戶端瀏覽器可以與伺服器證書建立SSL連接，在SSL連接上傳輸的任何數據都會被加密。同時，瀏覽器會自動驗證伺服器證書是否有效，驗證所訪問的站點是否是假冒站點，伺服器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球知名的伺服器證書品牌有verisign., Globalsign, geotrust等。 SSL證書主要用於伺服器(應用)的數據傳輸鏈路加密和身份認證，綁定網站域名，不同的產品對於不同價值的數據和要求不同的身份認證。超真SSL和超快SSL在頒發時間上已經沒有什麼區別，主要區別在於：超快SSL只驗證域名所有權，證書中不顯示單位名稱；而超真SSL需要驗證域名所有權、營業執照和第三方資料庫驗證，證書中顯示單位名稱：電子郵件證書 電子郵件證書可以用來證明電子郵件發件人的真實性。它並不證明數字證書上面CN一項所標識的證書所有者姓名的真實性，它只證明郵件地址的真實性。 收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實由指定郵箱發出外，還可以確信該郵件從被發出後沒有被篡改過。 另外，使用接收的郵件證書，我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網路傳輸，只有接收方的持有者才可能打開該郵件。客戶端個人證書 客戶端證書主要被用來進行身份驗證和電子簽名。 安全的客戶端證書我被存儲於專用的usbkey中。存儲於key中的證書不能被導出或復制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的形式有多種，指紋、口令卡等。 數字證書工作基本原理圖工作原理：數字證書里存有很多數字和英文，當使用數字證書進行身份認證時，它將隨機生成128位的身份碼，每份數字證書都能生成相應但每次都不可能相同的數碼，從而保證數據傳輸的保密性，即相當於生成一個復雜的密碼。

㈦ 什麼是數字證書數字證書能提供什麼安全服務

數字證書是指CA機構發行的一種電子文檔，是一串能夠表明網路用戶身份信息的數字，提供了一種在計算機網路上驗證網路用戶身份的方式，因此數字證書又稱為數字標識。數字證書對網路用戶在計算機網路交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。

數字證書的基本工作原理主要體現在：

第一，發送方在發送信息前，需先與接收方聯系，同時利用公鑰加密信息，信息在進行傳輸的過程當中一直是處密文狀態，包括接收方接收後也是加密的，確保了信息傳輸的單一性，若信息被竊取或截取，也必須利用接收方的私鑰才可解讀數據，而無法更改數據，這也有利保障信息的完整性和安全性。

第二，數字證書的數據簽名類似於加密過程，數據在實施加密後，只有接收方才可打開或更改數據信息，並加上自己的簽名後再傳輸至發送方，而接收方的私鑰具唯一性和私密性，這也保證了簽名的真實性和可靠性，進而保障信息的安全性。

數字證書有很多格式版本，主要有X.509v3（1997）、X509v4（1997）、X.509v1（1988）等。比較常用的版本是TUTrec.x.509V3，由國際電信聯盟制定，內容包括證書序列號、證書有效期和公開密鑰等信息。

不論是哪一個版本的數字證書，只要獲得數字證書，用戶就可以將其應用於網路安全中。

(7)保護數字證書擴展閱讀

數字證書主要具以下三方面特徵：

第一，安全性。用戶申請證書時會有兩份不同證書，分別用於工作電腦以及用於驗證用戶的信息交互，若所使用電腦不同，用戶就需重新獲取用於驗證用戶所使用電腦的證書，而無法進行備份，這樣即使他人竊取了證書，也無法獲取用戶的賬戶信息，保障了賬戶信息。

第二，唯一性。數字證書依用戶身份不同給予其相應的訪問許可權，若換電腦進行賬戶登錄，而用戶無證書備份，其是無法實施操作的，只能查看賬戶信息，數字證書就猶如「鑰匙」一般，所謂「一把鑰匙只能開一把鎖」，就是其唯一性的體現。

第三，便利性。用戶可即時申請、開通並使用數字證書，且可依用戶需求選擇相應的數字證書保障技術。用戶不需要掌握加密技術或原理，就能夠直接通過數字證書來進行安全防護，十分便捷高效。

數字證書是由CA中心所簽發的，CA中心是一個具權威性、依賴度極高的第三方，其資格證書經國家頒發，可有效保障網路數據信息的安全性，使數據信息處國家掌握當中。用戶在瀏覽網路數據信息或進行網上交易時，利用數字證書可保障信息傳輸及交易的安全性。

參考資料來源：網路-數字證書

㈧ 了解什麼是數字證書，HTTPS加密防護

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。它是由權威機構——CA機構，又稱為證書授權（Certificate Authority）中心如沃通CA發行的，人們可以在網上用它來識別對方的身份。
SSL證書，也稱為伺服器SSL證書，是遵守SSL協議的一種數字證書，由全球信任的證書頒發機構(CA)驗證伺服器身份後頒發。將SSL證書安裝在網站伺服器上，可實現網站身份驗證和數據加密傳輸雙重功能。安裝SSL證書後，使用Https加密協議訪問網站，可激活客戶端瀏覽器到網站伺服器之間的"SSL加密通道"（SSL協議），實現高強度雙向加密傳輸，防止傳輸數據被泄露或篡改。http://www.wosign.com/procts/ssl.htm

㈨ 什麼叫數字證書

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。

它是由權威機構——CA機構，又稱為證書授權（Certificate Authority）中心發行的，人們可以在網上用它來識別對方的身份。

數字證書是一種權威性的電子文檔，可以由權威公正的第三方機構，即CA（例如中國各地方的CA公司）中心簽發的證書，也可以由企業級CA系統進行簽發。

(9)保護數字證書擴展閱讀

數字證書的作用：

1、信息的保密性

交易中的商業信息具有保密性的要求。如果已知信用卡的賬號和用戶名，則可能被盜用。如果競爭對手知道訂單和付款信息，就可能失去商機。因此，在電子商務的信息傳播中，普遍存在加密要求。

2、交易者身份的確定性

在線交易的雙方很可能是陌生人，相隔數千英里。為了使交易成功，首先，我們必須能夠確認對方的身份。對於商家來說，我們應該考慮客戶不能是欺詐者，而且客戶也會擔心網上商店不是欺詐的黑店。因此，方便、可靠地確認對方的身份是交易的前提。

3、不可否認性

由於業務環境的不斷變化，一旦交易完成，就不能拒絕。否則，將不可避免地損害一方的利益。例如，在訂購黃金時，黃金的價格較低，但在收到訂單後，黃金的價格上升。如果收據能夠否認收到訂單的實際時間，或者甚至否認收到訂單的事實，則訂貨人將遭受損失。因此，電子交易通信過程中的每一個環節都必須是不可否認的。

4、不可修改性

交易文件不受修改，如上述黃金訂單。當供貨商收到訂單時，發現黃金價格急劇上漲。如果能改變文件內容，將訂單號從1噸改為1克，將會大大受益，因此訂購單位可能會遭受損失。因此，為了保證交易的嚴肅性和公平性，電子交易單據也應該是不可還原的。

㈩ 支付寶數字證書怎麼保護賬戶

數字證書用戶電腦必須裝有證書才能進行資金的相當操作。相對安全。6月2日之後安裝數字證書就不用備份了，重裝後再安裝就是，6.2後支付寶證書類似財付通證書安裝法，不用備份，每次安裝用手機接收驗證碼即可。可以進管理證書，刪除以前的證書。