保护数字证书

㈠ 如何保护自己的企业数字证书

数字证书里主要是有私钥，保护数字证书也就是保障私钥的安全。

私钥的保存有两种方式：
1、以文件的形式保存在你的硬盘中，
2、产生私钥时，浏览器会要求你提供密码，通过密码来保护私钥的安全。
下列情况下第三方可以访问到你的私钥：1、能够访问用于存储密钥的文件（该文件往往是你的计算机系统配置文件的一部分）；2、知道保护私钥的密码。某些软件允许你选择不使用密码来保护你的私钥，如果选择了该选项，你必须确信现在或者将来不会有人在非授权的情况下使用你的计算机。

我该怎样保存我的私钥？
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施（例如系统密码），采取措施来防病毒，因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。

我需要在家里和办公室都使用我的数字证书，我可以安全的在计算机之间移动我的私钥和数字证书吗？
在计算机之间移动密钥和数字证书是可能的，只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时，使用安全的密码来保护你的密钥是非常重要的。

我忘了我的私钥密码，有人能帮我更换掉它吗？
不能。如果你忘了你的私钥密码，没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效，除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥（该方式一般在支持双密钥对体系中）。有些情况下，你还需要重新安装你的电子邮件程序和网络浏览器。

有人偷了我的计算机，而我已经选择不要密码保护我的私钥，我现在该怎么办？
你应该立即通知CA数字证书受理点，你的私钥受到安全威胁，它会安排撤销你的证书并给你颁发新的证书。注意：虽然关系伙伴一般都会检查证书的撤销状态，但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。

有人偷了我的计算机，他们现在拥有我的证书的私钥吗？
如果你使用了一个好的密码来保护你的私钥，那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系，要求废除你的证书，然后给你发放一个新的证书（有新的密钥对）。

另外汇信科技的e照通服务可以很好的解决企业数字证书安全等一系列相关问题，帮您很好的承担了的风险，希望以上回答能解决您的疑惑。

㈡ 如何保护数字证书和私钥

需要澄清的概念 一、关于私钥的唯一性 严格地讲，私钥既然是世上唯一且只由主体本身持有，它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上并非如此，出于某些特殊需要(例如，如果只有一份私钥，单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样，加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一，否则就无法保证被签名信息的不可否认性。 在生成用户的密钥对时，用于加密的公/私钥对可以由CA、RA产生，也可以在用户终端的机器上用专用的程序(如浏览器程序或认证软件)来产生。用于数字签名的密钥对原则上只能由用户终端的程序自行产生，才能保证私钥信息的私密性以及通信信息的不可否认性。 我们常常听到有人说：保管好你的软盘，保管好你的KEY，不要让别人盗用你的证书。有些教科书上也这样讲。应该说，这句话是有毛病的。数字证书可以在网上公开，并不怕别人盗用和篡改。因为证书的盗用者在没有掌握相应的私钥的情况下，盗用别人的证书既不能完成加密通信，又不能实现数字签名，没有任何实际用处。而且，由于有CA对证书内容进行了数字签名，在网上公开的证书也不怕黑客篡改。我们说，更该得到保护的是储存在介质中的私钥。如果黑客同时盗走了证书和私钥，危险就会降临。 不同的存储介质，安全性是不同的。如果证书和私钥储存在计算机的硬盘里，计算机一旦受到黑客攻击，(例如被埋置了木马程序)证书和私钥就可能被盗用。 使用软盘或存储型IC卡来保存证书和私钥，安全性要比硬盘好一些，因为这两种介质仅仅在使用时才与电脑相连，用完后即被拔下，证书和私钥被窃取的可能性有所降低。但是黑客还是有机会，由于软盘和存储型IC卡不具备计算能力，在进行加密运算时，用户的私钥必须被调出软盘或IC卡进入外部的电脑，在这个过程中就会造成一定的安全隐患。 产生公私密钥对的程序(指令集)是智能卡生产者烧制在芯片中的ROM中的，密码算法程序也是烧制在ROM中。公私密钥对在智能卡中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。 USB Key和智能卡除了I/O物理接口不一样以外，内部结构和技术是完全一样的，其安全性也一样。只不过智能卡需要通过读卡器接到电脑的串行接口上，而USB Key通过电脑的通用串行总线(USB)接口直接与电脑相接。另外，USB接口的通信速度要远远高于串行接口的通信速度。现在出品的电脑已经把USB接口作为标准配置，而使用智能卡则需要加配读卡器。出于以上原因，各家CA都把USB Key作为首选的证书和私钥存储介质而加以推广。 为了防止USB key 不慎丢失而可能被他人盗用，不少证书应用系统在使用过程中还设置了口令认证机制。如口令输入得不对，即使掌握了USB key，也不能登录进入应用系统。

㈢ 数字证书有哪几种

数字证书与身份证都是由专门的机构来签发。身份证通常由公安局来签发，上面盖有签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心来签发。工信部通过资质审核确定一些服务机构可以对外提供数字认证服务，比如业内较为有影响的天威诚信数字认证中心对此按兴趣的可以去网站上多了解些行业信息。具体说到种类分为：
服务器证书(SSL证书)、电子邮件证书、客户端个人证书、企业证书、代码签名证书

㈣ 怎样保护好你的数字证书和数字签名麻烦告诉我

读者看到了这个题目，可能会产生这样的疑问：数字证书和数字签名本来就是网银交易的安全保护者，怎么它们自己还需要保护呢？是的！它们也需要保护，正如战士的枪是杀敌和自卫的武器，但枪本身也需要保护一样。下面，分两个方面讲讲这个问题。 数字证书和双因素认证 现在，大多数银行都建议网上银行客户使用随身携带的移动证书（工商银行称其为“U盾”）。这种放在USB Key中的数字证书在使用时私钥不出界面，接口上输入输出的数据全是加了密的密文，黑客无法截获有用信息，也无法窃取私钥造假，有效地保护了网银交易的安全。但是，如果移动证书一旦遗失，就会造成被人冒用的危险。因此，银行也会告诫用户，遗失移动证书的客户应及时到银行挂失，重新领取证书。新证书的密钥要重新换过，老证书被作废，这就避免了证书遗失后被人冒用的危险。 但是，从证书遗失或被窃，到客户发现遗失，去银行挂失，然后到银行将老证书作废，给客户换发新证书等等，这个过程是需要一定的时间的。如果不法分子在拿到证书后立即作案，你还是来不及避免损失。这可怎么办呢？ 为了避免这种情况，对证书就需要采取一定的保护措施。一方面，客户需要妥善地保管自己的数字证书，不遗失不被窃，还要养成良好习惯，网银交易完成后要立即拔下移动证书，避免被他人冒用；另一方面，从技术上要采取保护措施，例如要设置双因素认证机制。 什么是双因素认证机制呢？简单地讲，就是用两种不同的方法和途径（即因素）来进行身份认证。 从安全理论上讲，身份认证的因素可以分成三类： 第一类因素是认证对象“所知道的内容”，例如口令密码和身份证号码等。这需要使用者记忆。 第二类因素是认证对象“所拥有的物品”，例如数字证书、银行卡、身份证、权威机构的证明信等。在线下交易中，认证对象所拥有的物品需要随身携带，但在网上交易中，银行卡、身份证、权威机构的证明信就无法使用了，只有数字证书靠着特殊的PKI技术，可以看作是认证对象所拥有的物品。 第三类因素是认证对象“所具备的特征”，例如面容、指纹、瞳孔、声音等。这是认证对象本身拥有的惟一特征，一般用于现场认证，现在通过特殊的装置也可以用于网上认证。 单独来看，这三个因素中的任何一个都有问题。“所拥有的物品”可以被盗走；“所知道的内容”可以被猜出、被分享，复杂的内容可能会忘记；“所具备的特征”最为简单而强大，生物特征随身自带，重现率极低且极不易仿冒，但是代价昂贵，一般用在顶级安全需求中。 把以上三种认证因素中的任意两种结合起来形成双重认证，就是双因素认证机制。显然，双因素认证机制要比单因素认证机制更为安全。 现在，我们回过头来说证书的保护。 如果客户在领取证书的同时，银行为证书设置一个密码口令，要求在网上交易使用证书时，先要客户回答口令，不能正确回答口令者就不能使用证书。那么，即使证书遗失或被盗，不法分子拿到证书也完成不了网银交易，这就相当于为证书加了一道防护锁。 从理论上讲，这里使用了双因素认证机制：认证对象所拥有的物品—数字证书，以及认证对象所知道的内容—密码口令。 数字签名和“所见即所签” 在《正确使用和保管你的数字证书》一文中，我们介绍了USB Key数字证书的安全性可靠性，在目前的技术条件下，还没有人能攻破USB Key数字证书的安全防护和密码机制。具体的实例是工商银行数百万U盾用户中，至今还没有一例网银盗窃案件发生。 但是世上没有绝对的事情，就算我们把USB Key数字证书，以及用USB Key中保存的私钥所做的数字签名看成是绝对可靠，黑客还是有可能通过别的途径来达到它实行网银诈骗的目的。这件事有点像二战时期马奇诺防线的故事，法国人把正面的马奇诺防线修得固若金汤，但狡猾的德国人绕过马奇诺防线，取道第三国，从侧面攻入了法国。 为了保证网银交易的数据（例如对方的帐号、转账金额等）不被篡改，客户要对这些数据用自己的私钥做数字签名。经过签名后，如果黑客再作任何篡改，银行立即就能发现，拒绝完成交易。使用USB Key数字证书更加保险，签名过程在USB Key的芯片中自行完成，私钥不出界面，避免被黑客截获。这个数字签名的机制应该说是极其安全的，坚固的密码体制就像马奇诺防线一样牢不可破。 然而还存在着一种可能，那就是黑客在客户的电脑里埋植了木马，当应用程序把网银数据从PC送往USB Key进行数字签名时，木马程序在内部总线上截获这些数据，这时候它们还没有被加密，是以明码形式存在的。然后木马程序把数据进行篡改（如将本应划给张三的账款，划到黑客账户上，或改变划款金额等），再送到USB Key进行数字签名。这时候银行并不知道数据已被篡改，它收到由客户数字签名的交易数据后验签无误，便按照篡改后的支付指令进行转帐。而客户也不知道数据已被篡改，因为银行回答客户的交易成功的消息也会被木马按照正确的数字改回来，显示在客户的屏幕上。客户看到正确的确认消息，也就不加怀疑，以为一切正常。殊不知交易已被偷梁换柱，账户上的钱已被巧妙地窃走。 好了，黑客绕过了“马奇诺防线”，从侧面实现了网银盗窃的目的。 对付这种偷梁换柱的伎俩，安全专家也有招数，那就是所谓“所见即所签”的安全策略。具体的做法是：在USB Key上加一个小液晶屏，让它在客户进行数字签名前，显示即将被签的交易数据，客户只有看到了正确的数据，才会执行签名的操作。如木马程序把数据进行了篡改，客户会立即发现而拒绝签名，交易也就失败，帐款就不会丢失。 那也许有人问，木马要是钻到USB Key里去篡改数据怎么办呢？这我们在上一篇文章中已经说过了，USB Key的设计只允许应用程序在其界面外作API调用，输入参数、数据和命令，启动USB Key内部的数字签名运算、密码运算等，并获得返回结果。任何程序不允许进入USB Key界面以内进行操作。这就堵住了黑客/木马偷梁换柱的路。

㈤ 如何保护自己的数字证书

我在家里不同的电脑上都有副本，同时为了以防万一，有个不用的U盘考了一份

㈥ 数字证书是什么

由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。 如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。 数字证书也必须具有唯一性和可靠性。为了达到这一目的，需要采用很多技术来实现。通常，数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，用户可以公开其公开密钥，而保留其私有密钥。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。 基于数字证书的应用角度分类，数字证书可以分为以下几种：服务器证书 服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。 在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球知名的服务器证书品牌有verisign., Globalsign, geotrust等。 SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证，绑定网站域名，不同的产品对于不同价值的数据和要求不同的身份认证。超真SSL和超快SSL在颁发时间上已经没有什么区别，主要区别在于：超快SSL只验证域名所有权，证书中不显示单位名称；而超真SSL需要验证域名所有权、营业执照和第三方数据库验证，证书中显示单位名称：电子邮件证书 电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。 收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。 另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。客户端个人证书 客户端证书主要被用来进行身份验证和电子签名。 安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的形式有多种，指纹、口令卡等。 数字证书工作基本原理图工作原理：数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。

㈦ 什么是数字证书数字证书能提供什么安全服务

数字证书是指CA机构发行的一种电子文档，是一串能够表明网络用户身份信息的数字，提供了一种在计算机网络上验证网络用户身份的方式，因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。

数字证书的基本工作原理主要体现在：

第一，发送方在发送信息前，需先与接收方联系，同时利用公钥加密信息，信息在进行传输的过程当中一直是处密文状态，包括接收方接收后也是加密的，确保了信息传输的单一性，若信息被窃取或截取，也必须利用接收方的私钥才可解读数据，而无法更改数据，这也有利保障信息的完整性和安全性。

第二，数字证书的数据签名类似于加密过程，数据在实施加密后，只有接收方才可打开或更改数据信息，并加上自己的签名后再传输至发送方，而接收方的私钥具唯一性和私密性，这也保证了签名的真实性和可靠性，进而保障信息的安全性。

数字证书有很多格式版本，主要有X.509v3（1997）、X509v4（1997）、X.509v1（1988）等。比较常用的版本是TUTrec.x.509V3，由国际电信联盟制定，内容包括证书序列号、证书有效期和公开密钥等信息。

不论是哪一个版本的数字证书，只要获得数字证书，用户就可以将其应用于网络安全中。

(7)保护数字证书扩展阅读

数字证书主要具以下三方面特征：

第一，安全性。用户申请证书时会有两份不同证书，分别用于工作电脑以及用于验证用户的信息交互，若所使用电脑不同，用户就需重新获取用于验证用户所使用电脑的证书，而无法进行备份，这样即使他人窃取了证书，也无法获取用户的账户信息，保障了账户信息。

第二，唯一性。数字证书依用户身份不同给予其相应的访问权限，若换电脑进行账户登录，而用户无证书备份，其是无法实施操作的，只能查看账户信息，数字证书就犹如“钥匙”一般，所谓“一把钥匙只能开一把锁”，就是其唯一性的体现。

第三，便利性。用户可即时申请、开通并使用数字证书，且可依用户需求选择相应的数字证书保障技术。用户不需要掌握加密技术或原理，就能够直接通过数字证书来进行安全防护，十分便捷高效。

数字证书是由CA中心所签发的，CA中心是一个具权威性、依赖度极高的第三方，其资格证书经国家颁发，可有效保障网络数据信息的安全性，使数据信息处国家掌握当中。用户在浏览网络数据信息或进行网上交易时，利用数字证书可保障信息传输及交易的安全性。

参考资料来源：网络-数字证书

㈧ 了解什么是数字证书，HTTPS加密防护

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心如沃通CA发行的，人们可以在网上用它来识别对方的身份。
SSL证书，也称为服务器SSL证书，是遵守SSL协议的一种数字证书，由全球信任的证书颁发机构(CA)验证服务器身份后颁发。将SSL证书安装在网站服务器上，可实现网站身份验证和数据加密传输双重功能。安装SSL证书后，使用Https加密协议访问网站，可激活客户端浏览器到网站服务器之间的"SSL加密通道"（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改。http://www.wosign.com/procts/ssl.htm

㈨ 什么叫数字证书

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。

它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一种权威性的电子文档，可以由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。

(9)保护数字证书扩展阅读

数字证书的作用：

1、信息的保密性

交易中的商业信息具有保密性的要求。如果已知信用卡的账号和用户名，则可能被盗用。如果竞争对手知道订单和付款信息，就可能失去商机。因此，在电子商务的信息传播中，普遍存在加密要求。

2、交易者身份的确定性

在线交易的双方很可能是陌生人，相隔数千英里。为了使交易成功，首先，我们必须能够确认对方的身份。对于商家来说，我们应该考虑客户不能是欺诈者，而且客户也会担心网上商店不是欺诈的黑店。因此，方便、可靠地确认对方的身份是交易的前提。

3、不可否认性

由于业务环境的不断变化，一旦交易完成，就不能拒绝。否则，将不可避免地损害一方的利益。例如，在订购黄金时，黄金的价格较低，但在收到订单后，黄金的价格上升。如果收据能够否认收到订单的实际时间，或者甚至否认收到订单的事实，则订货人将遭受损失。因此，电子交易通信过程中的每一个环节都必须是不可否认的。

4、不可修改性

交易文件不受修改，如上述黄金订单。当供货商收到订单时，发现黄金价格急剧上涨。如果能改变文件内容，将订单号从1吨改为1克，将会大大受益，因此订购单位可能会遭受损失。因此，为了保证交易的严肃性和公平性，电子交易单据也应该是不可还原的。

㈩ 支付宝数字证书怎么保护账户

数字证书用户电脑必须装有证书才能进行资金的相当操作。相对安全。6月2日之后安装数字证书就不用备份了，重装后再安装就是，6.2后支付宝证书类似财付通证书安装法，不用备份，每次安装用手机接收验证码即可。可以进管理证书，删除以前的证书。