⑴ 如何验证数字签名证书,有什么用途
什么是数字签名?简单来说,数字签名是公钥密码的逆应用:用私钥加密消息,用公钥解密消息。数字签名是为了证明对方发的信息并没有被更改过,但前提条件是你确认对方是可靠的,即你拥有的公钥确实是对方的公钥而不是其他人的公钥。而数字证书就是为了证明你拥有的公钥确实是对方的。
以上“数字签名”例子中,我们都默认了一个前提条件:女神拥有的确实是你的公钥,如果女神的公钥被别人调包了呢?继续上面的实例:如果女神的公钥被你的一个情敌调包换成情敌的公钥了,当你把表白和数字签名发给女神的过程中,情敌把信息拦截了,拦截后重新写了一份表白并用他自己的私钥生成数字签名(重复你的操作,只不过内容已经换成情敌的了)重新发给女神,这时女神并不知道“你”已经换成“情敌”了,那你就悲剧了哦。这时数字证书就起作用了,数字证书就是为了给女神证明发信人的身份的。
2.数字证书包含的内容
在现实生活里,为了证明我们身份,公安机关会给每个人颁发一个身份证。在信息世界里,数字证书就是对方的身份证。同样的,数字证书也有专门的发证机关Certificate Authority,简称CA。发证机关颁发的数字证书里包含以下基本内容:
1.证书颁发机关
2.证书持有者名称/服务器域名
3.证书有效期
4.证书签名算法(摘要算法和加密算法)
5.证书签名值
6.证书所有者加密算法
7.证书所有者公钥
二、数字证书如何验证
现实中要验证一个人的身份,首先核对这个人的身份证有效性,然后再核对本人相貌跟身份证上的照片是否一致。数字证书也是一样的验证思路:
1.验证数字证书有效性
数字证书里包含了发证机关对这张证书的数字签名,而浏览器默认内置了发证机关的公钥(暂且这么理解),拿到公钥后先解密证书的数字签名拿到证书的摘要,然后浏览器用证书的摘要算法重新计算下证书的摘要,最后比对这两者的值是否相等,如果相等证明这张数字证书确实是发证机关颁发的有效证书。
如何验证该证书的所有者就是跟浏览器正在对话的网站呢?
数字证书包含了web网站服务器的一个或者多个域名,浏览器会验证该域名跟正在对话的服务器的域名是否匹配(防止MITM)。
颁发证书的机构是可以有级联关系的,即A机构可以委派B机构颁发证书,B机构也可以委派C颁发证书,如果网站的证书是C颁发的,那么需要用B的证书去验证C颁发的证书,同理需要用A机构的证书去验证B颁发的证书,这个过程是递归的,A机构的证书被称为“根证书”。“根证书”是配置在我们电脑上,默认是安全的。
如果用户遇到的问题不能解决,可通过wosign官网客服网页链接寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持网页链接,免除后顾之忧。
⑵ 数字证书有效性的确认有哪几种方式
(1)只验证证书信任链(安全性要求一般),确认证书是有效的;
(2)验证证书信任链,同时检查证书吊销列表CRL(Certificate Revocation List),又称黑名单,检查证书是否吊销 (安全性要求中);
(3)验证证书信任链,同时进行证书状态的实时查询OCSP(Online Certificate Status Protocol),检查证书是否吊销(安全性要求高);
(4)由专门的证书验证系统(Validation Authority)
⑶ 数字证书的验证过程
你的概念来理解得有自点错误。
根证书是指根CA证书,是信任的源头。根证书是自签发证书,就是自己签发自己,要不为何叫做根?
CA证书包括根CA证书、二级CA证书、三级。。。
CA证书不参与通信,只有服务器证书和用户证书等参与通信过程的建立。
不是证书之间建立通信,而是通过通信协议在通信的建立过程中使用到了证书,如SSL协议,具体如何建立通信过程,请参见SSL的握手协议。
服务器证书和用户证书,即使不是一个CA签发的,也可以使用证书达到互相通信的目的。只需要进行配置做到相互信任对方的CA证书即可。
你还需要进一步理清概念。。。
满意请采纳。
⑷ 数字证书的认证路径有几种
数字证书与身份证都是由专门的机构来签发。身份证通常由公安局来签发,上面版盖有权签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心来签发。工信部通过资质审核确定一些服务机构可以对外提供数字认证服务,比如业内较为有影响的天威诚信数字认证中心对此按兴趣的可以去网站上多了解些行业信息。具体说到种类分为:
服务器证书(SSL证书)、电子邮件证书、客户端个人证书、企业证书、代码签名证书。
⑸ 数字证书认证过程是怎么样的
数字证书认证的过程是抄如何呢?我们要先知道CA机构,即所谓的数字证书颁发机构,CA机构都属具有权威性的。以SSL证书为例,要想完成SSL数字证书认证,必须要通过CA机构来验证域名所有权,以及公司或是个人信息。在完成CA机构的验证之后,才会发布SSL证书,然后根据证书提示完成下载安装。
在大致了解数字证书作用以及数字证书认证之后,便可以发现数字证书认证在互联网中起着不可替代的作用。不仅仅是网站需要数字证书认证,很多方面,例如软件的代码,pdf文件的使用权等等,都需要进行相应的数字证书认证。
以上就是数字证书原理相关内容相关信息,更多请关注上海CA中心其它相关文章!上海CA中心成立于1998年,是中央密码工作领导小组批准的唯一试点,为政府、企事业单位、个人等提供合法合规的第三方电子认证、数字身份相关产品和集成实施服务
⑹ 数字证书是如何验证的
2月28日来 16:45 您好,这是因为您在FOXMAIL里设置自了,发送安全邮件的功能,所以有此提示。解决方法:打开FOXMAIL-工具-系统设置-安全里,将发送安全邮件的两个选项前的“勾”去掉,不要勾选这两项,就可以了。
如有更多问题, 请咨询网络客服中心。
全国统一客服热线:95105670 咨询邮箱:[email protected]
⑺ 如何验证数字证书的有效性 信息安全
一、有效期
证书的有效期验证这个比较简单,就是使用时间在必须在证书起始和结束日期之间才有效,通过解析X.509对象很容易获取起止时间,判断证书有效期代码如下:
/// <summary>
/// 有效期验证
/// </summary>
/// <param name="cert"></param>
/// <returns></returns>
public static bool CheckDate(string cert)
{
byte[] bt = Convert.FromBase64String(cert);
System.Security.Cryptography.X509Certificates.X509Certificate2 x509
= new System.Security.Cryptography.X509Certificates.X509Certificate2(bt);
string date = x509.GetExpirationDateString();
DateTime dtex = Convert.ToDateTime(date);
DateTime dtnow = DateTime.Now;
DateTime dteff = Convert.ToDateTime(x509.GetEffectiveDateString());
if (dteff < dtnow && dtnow < dtex)
{
return true;
}
return false;
}
二、颁发根证书
每个数字证书都有颁发根证书的签名,验证证书就是用根证书公钥来验证证书颁发者签名。首先,必须要找到数字证书的颁发根证书,Windows本身集成一些权威的受信任的根证书颁发机构,如VeriSign等,如果不在受信任的证书列表,我们打开证书会显示“Windows 没有足够信息,不能验证该证书”,当然我们可以把根证书加到受信任的根证书列表,这样证书就可以显示正常。
一般带证书链的数字证书中会包含证书颁发机构颁发者,逐级验证到最顶级根证书,每一级都用上级颁发根证书验证证书签名,直到证书颁发者和使用者一样自己可以验证自己通过。根证书的基本约束会不一样,Subject Type=CA代表可以签发证书,而一般的用户证书为Subject Type=End Entity,为终端实体不能再签发证书。
三、CRL验证
CRL是经CA签名的证书作废列表,用于做证书冻结和撤销时对证书有效性状态控制。一般数字证书中都有 CRL分发点地址,提供了HTTP和LDAP方式访问。通过BouncyCastle库解析X509证书的扩展项我们可以获取到CRL地址,然后使用相应方式下载CRL进行验证。
获取数字证书CRL
在用LDAP方式下载CRL时,注意LDAP协议名称要大写,不然访问会出错。下载的CRL格式可能是BASE64编码的,需要判断转换成DER编码二进制格式。
CRL分全量CRL和增量CRL,另外还有分段CRL,即同个CA的证书分不同的CRL地址段,主要是为了分流服务器负载。CRL有生效日期和下次更新时间,一般是定时更新,所以CRL并不是即时状态的。因此还有OCSP在线证书状态协议,可以即时的查询证书状态。
⑻ 怎样验证对方的数字证书
私钥只有一把 公钥可以有无数把 只有用私钥加密的才叫数字签名 所以你接受到的如果是公钥 那根本就没有意义 也称不上数字签名
发送方将报文通过双方协商的HASH算法进行计算 (协商过程这里省略) 得到报文摘要 然后再用私钥对这个摘要加密 这个结果就是数字签名 然后连同原报文传给接受者
接受者通过对原报文进行同样的HASH计算 再把这个结果同公钥解密数字签名的结果做比较 如果是相同的 那就说明此报文的确来自发送方
至于你的公钥是哪来的那就不管了
⑼ 怎么验证数字证书
网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的版公钥和交易对象通信权,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行,验证需要包括以下的内容: ·证书完整性验证。即确认这个证书没有被别人篡改过。这项验证可以通过验证证书中CA的数字签名而完成。 ·证书可信性验证。即确认该证书是由一个可信的CA颁发的。为此验证者必须验证证书链,即从对方的CA信任域的底层开始,逐层向上查询,一直追溯到信任链的终点,通常是根CA为止,找到权威的根CA的签名,这才完成验证。(有关证书链的概念,可参阅《晨曦》07年第期知识园地“证书链是怎么回事”一文。) ·证书有效性验证。即确认该证书是否已经失效。 ·有关证书使用策略限制的验证。即确认证书的当前使用有没有超出证书中规定的策略限制。t=10955