⑴ 如何驗證數字簽名證書,有什麼用途
什麼是數字簽名?簡單來說,數字簽名是公鑰密碼的逆應用:用私鑰加密消息,用公鑰解密消息。數字簽名是為了證明對方發的信息並沒有被更改過,但前提條件是你確認對方是可靠的,即你擁有的公鑰確實是對方的公鑰而不是其他人的公鑰。而數字證書就是為了證明你擁有的公鑰確實是對方的。
以上「數字簽名」例子中,我們都默認了一個前提條件:女神擁有的確實是你的公鑰,如果女神的公鑰被別人調包了呢?繼續上面的實例:如果女神的公鑰被你的一個情敵調包換成情敵的公鑰了,當你把表白和數字簽名發給女神的過程中,情敵把信息攔截了,攔截後重新寫了一份表白並用他自己的私鑰生成數字簽名(重復你的操作,只不過內容已經換成情敵的了)重新發給女神,這時女神並不知道「你」已經換成「情敵」了,那你就悲劇了哦。這時數字證書就起作用了,數字證書就是為了給女神證明發信人的身份的。
2.數字證書包含的內容
在現實生活里,為了證明我們身份,公安機關會給每個人頒發一個身份證。在信息世界裡,數字證書就是對方的身份證。同樣的,數字證書也有專門的發證機關Certificate Authority,簡稱CA。發證機關頒發的數字證書里包含以下基本內容:
1.證書頒發機關
2.證書持有者名稱/伺服器域名
3.證書有效期
4.證書簽名演算法(摘要演算法和加密演算法)
5.證書簽名值
6.證書所有者加密演算法
7.證書所有者公鑰
二、數字證書如何驗證
現實中要驗證一個人的身份,首先核對這個人的身份證有效性,然後再核對本人相貌跟身份證上的照片是否一致。數字證書也是一樣的驗證思路:
1.驗證數字證書有效性
數字證書里包含了發證機關對這張證書的數字簽名,而瀏覽器默認內置了發證機關的公鑰(暫且這么理解),拿到公鑰後先解密證書的數字簽名拿到證書的摘要,然後瀏覽器用證書的摘要演算法重新計算下證書的摘要,最後比對這兩者的值是否相等,如果相等證明這張數字證書確實是發證機關頒發的有效證書。
如何驗證該證書的所有者就是跟瀏覽器正在對話的網站呢?
數字證書包含了web網站伺服器的一個或者多個域名,瀏覽器會驗證該域名跟正在對話的伺服器的域名是否匹配(防止MITM)。
頒發證書的機構是可以有級聯關系的,即A機構可以委派B機構頒發證書,B機構也可以委派C頒發證書,如果網站的證書是C頒發的,那麼需要用B的證書去驗證C頒發的證書,同理需要用A機構的證書去驗證B頒發的證書,這個過程是遞歸的,A機構的證書被稱為「根證書」。「根證書」是配置在我們電腦上,默認是安全的。
如果用戶遇到的問題不能解決,可通過wosign官網客服網頁鏈接尋求幫助,凡是選擇wosign ssl證書的網站用戶,wosign可提供免費一對一的ssl證書技術部署支持網頁鏈接,免除後顧之憂。
⑵ 數字證書有效性的確認有哪幾種方式
(1)只驗證證書信任鏈(安全性要求一般),確認證書是有效的;
(2)驗證證書信任鏈,同時檢查證書吊銷列表CRL(Certificate Revocation List),又稱黑名單,檢查證書是否吊銷 (安全性要求中);
(3)驗證證書信任鏈,同時進行證書狀態的實時查詢OCSP(Online Certificate Status Protocol),檢查證書是否吊銷(安全性要求高);
(4)由專門的證書驗證系統(Validation Authority)
⑶ 數字證書的驗證過程
你的概念來理解得有自點錯誤。
根證書是指根CA證書,是信任的源頭。根證書是自簽發證書,就是自己簽發自己,要不為何叫做根?
CA證書包括根CA證書、二級CA證書、三級。。。
CA證書不參與通信,只有伺服器證書和用戶證書等參與通信過程的建立。
不是證書之間建立通信,而是通過通信協議在通信的建立過程中使用到了證書,如SSL協議,具體如何建立通信過程,請參見SSL的握手協議。
伺服器證書和用戶證書,即使不是一個CA簽發的,也可以使用證書達到互相通信的目的。只需要進行配置做到相互信任對方的CA證書即可。
你還需要進一步理清概念。。。
滿意請採納。
⑷ 數字證書的認證路徑有幾種
數字證書與身份證都是由專門的機構來簽發。身份證通常由公安局來簽發,上面版蓋有權簽發單位的公章。而受電子簽名法保護的數字證書則是由國家許可的第三方數字認證中心來簽發。工信部通過資質審核確定一些服務機構可以對外提供數字認證服務,比如業內較為有影響的天威誠信數字認證中心對此按興趣的可以去網站上多了解些行業信息。具體說到種類分為:
伺服器證書(SSL證書)、電子郵件證書、客戶端個人證書、企業證書、代碼簽名證書。
⑸ 數字證書認證過程是怎麼樣的
數字證書認證的過程是抄如何呢?我們要先知道CA機構,即所謂的數字證書頒發機構,CA機構都屬具有權威性的。以SSL證書為例,要想完成SSL數字證書認證,必須要通過CA機構來驗證域名所有權,以及公司或是個人信息。在完成CA機構的驗證之後,才會發布SSL證書,然後根據證書提示完成下載安裝。
在大致了解數字證書作用以及數字證書認證之後,便可以發現數字證書認證在互聯網中起著不可替代的作用。不僅僅是網站需要數字證書認證,很多方面,例如軟體的代碼,pdf文件的使用權等等,都需要進行相應的數字證書認證。
以上就是數字證書原理相關內容相關信息,更多請關註上海CA中心其它相關文章!上海CA中心成立於1998年,是中央密碼工作領導小組批準的唯一試點,為政府、企事業單位、個人等提供合法合規的第三方電子認證、數字身份相關產品和集成實施服務
⑹ 數字證書是如何驗證的
2月28日來 16:45 您好,這是因為您在FOXMAIL里設置自了,發送安全郵件的功能,所以有此提示。解決方法:打開FOXMAIL-工具-系統設置-安全里,將發送安全郵件的兩個選項前的「勾」去掉,不要勾選這兩項,就可以了。
如有更多問題, 請咨詢網路客服中心。
全國統一客服熱線:95105670 咨詢郵箱:[email protected]
⑺ 如何驗證數字證書的有效性 信息安全
一、有效期
證書的有效期驗證這個比較簡單,就是使用時間在必須在證書起始和結束日期之間才有效,通過解析X.509對象很容易獲取起止時間,判斷證書有效期代碼如下:
/// <summary>
/// 有效期驗證
/// </summary>
/// <param name="cert"></param>
/// <returns></returns>
public static bool CheckDate(string cert)
{
byte[] bt = Convert.FromBase64String(cert);
System.Security.Cryptography.X509Certificates.X509Certificate2 x509
= new System.Security.Cryptography.X509Certificates.X509Certificate2(bt);
string date = x509.GetExpirationDateString();
DateTime dtex = Convert.ToDateTime(date);
DateTime dtnow = DateTime.Now;
DateTime dteff = Convert.ToDateTime(x509.GetEffectiveDateString());
if (dteff < dtnow && dtnow < dtex)
{
return true;
}
return false;
}
二、頒發根證書
每個數字證書都有頒發根證書的簽名,驗證證書就是用根證書公鑰來驗證證書頒發者簽名。首先,必須要找到數字證書的頒發根證書,Windows本身集成一些權威的受信任的根證書頒發機構,如VeriSign等,如果不在受信任的證書列表,我們打開證書會顯示「Windows 沒有足夠信息,不能驗證該證書」,當然我們可以把根證書加到受信任的根證書列表,這樣證書就可以顯示正常。
一般帶證書鏈的數字證書中會包含證書頒發機構頒發者,逐級驗證到最頂級根證書,每一級都用上級頒發根證書驗證證書簽名,直到證書頒發者和使用者一樣自己可以驗證自己通過。根證書的基本約束會不一樣,Subject Type=CA代表可以簽發證書,而一般的用戶證書為Subject Type=End Entity,為終端實體不能再簽發證書。
三、CRL驗證
CRL是經CA簽名的證書作廢列表,用於做證書凍結和撤銷時對證書有效性狀態控制。一般數字證書中都有 CRL分發點地址,提供了HTTP和LDAP方式訪問。通過BouncyCastle庫解析X509證書的擴展項我們可以獲取到CRL地址,然後使用相應方式下載CRL進行驗證。
獲取數字證書CRL
在用LDAP方式下載CRL時,注意LDAP協議名稱要大寫,不然訪問會出錯。下載的CRL格式可能是BASE64編碼的,需要判斷轉換成DER編碼二進制格式。
CRL分全量CRL和增量CRL,另外還有分段CRL,即同個CA的證書分不同的CRL地址段,主要是為了分流伺服器負載。CRL有生效日期和下次更新時間,一般是定時更新,所以CRL並不是即時狀態的。因此還有OCSP在線證書狀態協議,可以即時的查詢證書狀態。
⑻ 怎樣驗證對方的數字證書
私鑰只有一把 公鑰可以有無數把 只有用私鑰加密的才叫數字簽名 所以你接受到的如果是公鑰 那根本就沒有意義 也稱不上數字簽名
發送方將報文通過雙方協商的HASH演算法進行計算 (協商過程這里省略) 得到報文摘要 然後再用私鑰對這個摘要加密 這個結果就是數字簽名 然後連同原報文傳給接受者
接受者通過對原報文進行同樣的HASH計算 再把這個結果同公鑰解密數字簽名的結果做比較 如果是相同的 那就說明此報文的確來自發送方
至於你的公鑰是哪來的那就不管了
⑼ 怎麼驗證數字證書
網上交易者通過交易對象的數字證書對其產生信任,並能夠使用和證書綁定的版公鑰和交易對象通信權,這是PKI認證機制的基本宗旨。但是,當網上交易者從交易對象那裡直接獲取,或通過訪問CA證書庫等不同途徑得到了交易對象的數字證書以後,這張證書不經過驗證是不能放心使用的。驗證由安全認證應用軟體執行,驗證需要包括以下的內容: ·證書完整性驗證。即確認這個證書沒有被別人篡改過。這項驗證可以通過驗證證書中CA的數字簽名而完成。 ·證書可信性驗證。即確認該證書是由一個可信的CA頒發的。為此驗證者必須驗證證書鏈,即從對方的CA信任域的底層開始,逐層向上查詢,一直追溯到信任鏈的終點,通常是根CA為止,找到權威的根CA的簽名,這才完成驗證。(有關證書鏈的概念,可參閱《晨曦》07年第期知識園地「證書鏈是怎麼回事」一文。) ·證書有效性驗證。即確認該證書是否已經失效。 ·有關證書使用策略限制的驗證。即確認證書的當前使用有沒有超出證書中規定的策略限制。t=10955