數字簽名證書有效期

❶ 數字證書是怎麼回事啊

1.什麼是數字證書？

數字證書就是網路通訊中標志通訊各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。

最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的
數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。

一個標準的X.509數字證書包含以下一些內容：
證書的版本信息；
證書的序列號，每個證書都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.500格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950-2049；
證書所有人的名稱，命名規則一般採用X.500格式；
證書所有人的公開密鑰；
證書發行者對證書的簽名。
使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

2.為什麼要使用數字證書？

由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的，並且要使顧客、商家和企業等交易各方都具有絕對的信心，因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網路安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。

信息的保密性
交易中的商務信息均有保密的要求，如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。

不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

不可修改性
由於商情的千變萬化，交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

3.數字認證原理
數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。

在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。

如果用戶需要發送加密數據，發送方需要使用接收方的數字證書（公開密鑰）對數據進行加密，而接收方則使用自己的私有密鑰進行解密，從而保證數據的安全保密性。

另外，用戶可以通過數字簽名實現數據的完整性和有效性，只需採用私有密鑰對數據進行加密處理，由於私有密鑰僅為用戶個人擁有，從而能夠簽名文件的唯一性，即保證：數據由簽名者自己簽名發送，簽名者不能否認或難以否認；數據自簽發到接收這段過程中未曾作過任何修改，簽發的文件是真實的。

[page]

4.數字證書是如何頒發的？

數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。

認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造，認證中心的公共密鑰必須是可靠的，認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性，後一種方法導致了多級別認證中心的出現。

數字證書頒發過程如下：用戶產生了自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內附了用戶和他的密鑰等信息，同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時，就可以提供這一數字證書。

5.加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。

加密包括兩個元素：演算法和密鑰。一個加密演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。

密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制，來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。

相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DNS，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

6.對稱加密技術
對稱加密採用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。這種方法在密碼學中叫做對稱加密演算法，對稱加密演算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標准（DNS），另一個對稱密鑰加密系統系統是國際數據加密演算法（IDEA），它比DNS的加密性好，而且對計算機功能要求也沒有那麼高。IDEA加密標准由PGP（Pretty Good Privacy）系統使用。

對稱加密演算法在電子商務交易過程中存在幾個問題：

（1）要求提供一條安全的渠道使通訊雙方在首次通訊時協商一個共同的密鑰。直接的面對面協商可能是不現實而且難於實施的，所以雙方可能需要藉助於郵件和電話等其它相對不夠安全的手段來進行協商；
（2）密鑰的數目難於管理。因為對於每一個合作者都需要使用不同的密鑰，很難適應開放社會中大量的信息交流；
（3）對稱加密演算法一般不能提供信息完整性的鑒別。它無法驗證發送者和接受者的身份；
（4）對稱密鑰的管理和分發工作是一件具有潛在危險的和煩瑣的過程。對稱加密是基於共同保守秘密來實現的，採用對稱加密技術的貿易雙方必須保證採用的是相同的密鑰，保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。
7.非對稱加密技術

1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是「公開密鑰系統」。相對於「對稱加密演算法」這種方法也叫做「非對稱加密演算法」。

與對稱加密演算法不同，非對稱加密演算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。

貿易方利用該非對稱加密演算法實現機密信息交換的基本過程是：貿易方甲生成一對密鑰並將其中的一把作為公用密鑰向其他貿易方公開；得到該公用密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲；貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公用密鑰加密後的任何信息。

非對稱加密演算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合於對文件加密而只適用於對少量數據進行加密。

在微軟的Window NT的安全性體系結構中，公開密鑰系統主要用於對私有密鑰的加密過程。每個用戶如果想要對數據進行加密，都需要生成一對自己的密鑰對（keypair）。密鑰對中的公開密鑰和非對稱加密解密演算法是公開的，但私有密鑰則應該由密鑰的主人妥善保管。

使用公開密鑰對文件進行加密傳輸的實際過程包括四步：

（1）發送方生成一個自己的私有密鑰並用接收方的公開密鑰對自己的私有密鑰進行加密，然後通過網路傳輸到接收方；
（2）發送方對需要傳輸的文件用自己的私有密鑰進行加密，然後通過網路把加密後的文件傳輸到接收方；
（3）接收方用自己的公開密鑰進行解密後得到發送方的私有密鑰；
（4）接受方用發送方的私有密鑰對文件進行解密得到文件的明文形式。

因為只有接收方才擁有自己的公開密鑰，所以即使其他人得到了經過加密的發送方的私有密鑰，也因為無法進行解密而保證了私有密鑰的安全性，從而也保證了傳輸文件的安全性。實際上，上述在文件傳輸過程中實現了兩個加密解密過程：文件本身的加密和解密與私有密鑰的加密解密，這分別通過私有密鑰和公開密鑰來實現。
8.數字簽名技術
對文件進行加密只解決了傳送信息的保密問題，而防止他人對傳輸的文件進行破壞，以及如何確定發信人的身份還需要採取其它的手段，這一手段就是數字簽名。在電子商務安全保密系統中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數字簽名技術。在電子商務中，完善的數字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真偽的能力。

實現數字簽名有很多方法，目前數字簽名採用較多的是公鑰加密技術，如基於RSA Date Security公司的PKCS（Public Key Cryptography Standards）、Digital Signature Algorithm、x.509、PGP（Pretty Good Privacy）。1994年美國標准與技術協會公布了數字簽名標准而使公鑰加密技術廣泛應用。公鑰加密系統採用的是非對稱加密演算法。

目前的數字簽名是建立在公共密鑰體制基礎上，它是公用密鑰加密技術的另一類應用。它的主要方式是，報文的發送方從報文文本中生成一個128位的散列值（或報文摘要）。發送方用自己的私人密鑰對這個散列值進行加密來形成發送方的數字簽名。然後，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發送方的公用密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同、那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別。

在書面文件上簽名是確認文件的一種手段，其作用有兩點：第一，因為自己的簽名難以否認，從而確認了文件已簽署這一事實；第二，因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：第一，信息是由簽名者發送的；第二，信息自簽發後到收到為止未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發送信息。或發出（收到）信件後又加以否認等情況發生。

應用廣泛的數字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種演算法可單獨使用，也可綜合在一起使用。數字簽名是通過密碼演算法對數據進行加、解密變換實現的，用DES算去、RSA演算法都可實現數字簽名。但三種技術或多或少都有缺陷，或者沒有成熟的標准。

用RSA或其它公開密鑰密碼演算法的最大方便是沒有密鑰分配問題（網路越復雜、網路用戶越多，其優點越明顯）。因為公開密鑰加密使用兩個不同的密鑰，其中有一個是公開的，另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁（商業電話）上或公告牌里，網上的任何用戶都可獲得公開密鑰。而私有密鑰是用戶專用的，由用戶本身持有，它可以對由公開密鑰加密信息進行解密。

RSA演算法中數字簽名技術實際上是通過一個哈希函數來實現的。數字簽名的特點是它代表了文件的特徵，文件如果發生改變，數字簽名的值也將發生變化。不同的文件將得到不同的數字簽名。一個最簡單的哈希函數是把文件的二進制碼相累加，取最後的若干位。哈希函數對發送數據的雙方都是公開的。

DSS數字簽名是由美國國家標准化研究院和國家安全局共同開發的。由於它是由美國政府頒布實施的，主要用於與美國政府做生意的公司，其他公司則較少使用，它只是一個簽名系統，而且美國政府不提倡使用任何削弱政府竊聽能力的加密軟體，認為這才符合美國的國家利益。
[page]

Hash簽名是最主要的數字簽名方法，也稱之為數字摘要法（Digital Digest）或數字指紋法（Digital Finger Print）。它與RSA數字簽名是單獨的簽名不同，該數字簽名方法是將數字簽名與要發送的信息緊密聯系在一起，它更適合於電子商務活動。將一個商務合同的個體內容與簽名結合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。數字摘要（Digital Digest）加密方法亦稱安全Hash編碼法（SHA：Secure Hash Algorithm）或MD5（MD Standard For Message Digest），由RonRivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，這一串密文亦稱為數字指紋（Finger Print），它有固定的長度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗證明文是否是「真身」的「指紋」了。

只有加入數字簽名及驗證才能真正實現在公開網路上的安全傳輸。加入數字簽名和驗證的文件傳輸過程如下：

（1）發送方首先用哈希函數從原文得到數字簽名，然後採用公開密鑰體系用發達方的私有密鑰對數字簽名進行加密，並把加密後的數字簽名附加在要發送的原文後面；
（2）發送一方選擇一個秘密密鑰對文件進行加密,並把加密後的文件通過網路傳輸到接收方；
（3）發送方用接收方的公開密鑰對密秘密鑰進行加密,並通過網路把加密後的秘密密鑰傳輸到接收方；
（4）接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文；
（5）接收方用秘密密鑰對文件進行解密，得到經過加密的數字簽名；
（6）接收方用發送方的公開密鑰對數字簽名進行解密，得到數字簽名的明文；
（7）接收方用得到的明文和哈希函數重新計算數字簽名，並與解密後的數字簽名進行對比。如果兩個數字簽名是相同的，說明文件在傳輸過程中沒有被破壞。

如果第三方冒充發送方發出了一個文件，因為接收方在對數字簽名進行解密時使用的是發送方的公開密鑰，只要第三方不知道發送方的私有密鑰，解密出來的數字簽名和經過計算的數字簽名必然是不相同的。這就提供了一個安全的確認發送方身份的方法。

安全的數字簽名使接收方可以得到保證：文件確實來自聲稱的發送方。鑒於簽名私鑰只有發送方自己保存，他人無法做一樣的數字簽名，因此他不能否認他參與了交易。

數字簽名的加密解密過程和私有密鑰的加密解密過程雖然都使用公開密鑰體系，但實現的過程正好相反，使用的密鑰對也不同。數字簽名使用的是發送方的密鑰對，發送方用自己的私有密鑰進行加密，接收方用發送方的公開密鑰進行解密。這是一個一對多的關系：任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性，而私有密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關系：任何知道接收方公開密鑰的人都可以向接收方發送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密。在實用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數字簽名進行加密解密，一個密鑰對用來對私有密鑰進行加密解密。這種方式提供了更高的安全性。

9.數字時間戳技術
在電子商務的發展過程中，數字簽名技術也有所發展。數字時間戳技術就是數字簽名技術一種變種的應用。

在電子商務交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。數字時間戳服務（DTS：digita1 time stamp service）是網上電子商務安全服務項目之一，能提供電子文件的日期和時間信息的安全保護，由專門的機構提供。

如果在簽名時加上一個時間標記，即是有數字時間戳（digital time stamp）的數字簽名。

時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：

（1）需加時間戳的文件的摘要（digest）；
（2）DTS收到文件的日期和時間；
（3）DTS的數字簽名。

一般來說，時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。

書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。
10. SSL安全協議

SSL安全協議最初是由Netscape Communication公司設計開發的，又叫「安全套接層（Secure Sockets Layer）協議」，主要用於提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為：一個保證任何安裝了安全套接字的客戶和伺服器間事務安全的協議，它涉及所有TC/IP應用程序。

SSL安全協議主要提供三方面的服務：

用戶和伺服器的合法性認證
認證用戶和伺服器的合法性，使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。客戶機和伺服器都是有各自的識別號，這些識別號由公開密鑰進行編號，為了驗證用戶是否合法，安全套接層協議要求在握手交換數據進行數字認證，以此來確保用戶的合法性。

加密數據以隱藏被傳送的數據
安全套接層協議所採用的加密技術既有對稱密鑰技術，也有公開密鑰技術。在客戶機與伺服器進行數據交換之前，交換SSL初始握手信息，在SSL握手情息中採用了各種加密技術對其加密，以保證其機密性和數據的完整性，並且用數字證書進行鑒別。這樣就可以防止非法用戶進行破譯。

護數據的完整性
安全套接層協議採用Hash函數和機密共享的方法來提供信息的完整性服務，建立客戶機與伺服器之間的安全通道，使所有經過安全套接層協議處理的業務在傳輸過程中能全部完整准確無誤地到達目的地。

要說明的是，安全套接層協議是一個保證計算機通信安全的協議，對通信對話過程進行安全保護。例如，一台客戶機與一台主機連接上了，首先是要初始化握手協議，然後就建立了一個SSL。對話進段。直到對話結束，安全套接層協議都會對整個通信過程加密，並且檢查其完整性。這樣一個對話時段算一次握手。而HTTP協議中的每一次連接就是一次握手，因此，與HTTP相比。安全套接層協議的通信效率會高一些。

（1）接通階段：客戶通過網路向服務商打招呼，服務商回應；
（2）密碼交換階段：客戶與伺服器之間交換雙方認可的密碼，一般選用RSA密碼演算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼演算法；
（3）會談密碼階段：客戶與服務商間產生彼此交談的會談密碼；
（4）檢驗階段：檢驗服務商取得的密碼；
（5）客戶認證階段：驗證客戶的可信度；
（6）結束階段，客戶與服務商之間相互交換結束的信息。

當上述動作完成之後，兩者間的資料傳送就會加密，另外一方收到資料後，再將編碼資料還原。即使盜竊者在網路上取得編碼後的資料，如果沒有原先編制的密碼演算法，也不能獲得可讀的有用資料。

發送時信息用對稱密鑰加密，對稱密鑰用非對稱演算法加密，再把兩個包綁在一起傳送過去。

接收的過程與發送正好相反，先打開有對稱密鑰的加密包，再用對稱密鑰解密。

在電子商務交易過程中，由於有銀行參與，按照SSL協議，客戶的購買信息首先發往商家，商家再將信息轉發銀行，銀行驗證客戶信息的合法性後，通知商家付款成功，商家再通知客戶購買成功，並將商品寄送客戶。

SSL安全協議是國際上最早應用於電子商務的一種網路安全協議，至今仍然有很多網上商店使用。在傳統的郵購活動中，客戶首先尋找商品信息，然後匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務的開始階段，商家也是擔心客戶購買後不付款，或使用過期的信用卡，因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。

SSL協議運行的基點是商家對客戶信息保密的承諾。但在上述流程中我們也可以注意到，SSL協議有利於商家而不利於客戶。客戶的信息首先傳到商家，商家閱讀後再傳至（銀行，這樣，客戶資料的安全性便受到威脅。商家認證客戶是必要的，但整個過程中，缺少了客戶對商家的認證。在電子商務的開始階段，由於參與電子商務的公司大都是一些大公司，信譽較高，這個問題沒有引起人們的重視。隨著電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL協議的缺點完全暴露出來。SSL協議將逐漸被新的電子商務協議（例如SET）所取代。
[page]
11. SET安全協議
在開放的網際網路上處理電子商務，保證買賣雙方傳輸數據的安全成為電子商務的重要的問題。為了克服SSL安全協議的缺點，滿足電子交易持續不斷地增加的安全要求，為了達到交易安全及合乎成本效益的市場要求，VISA國際組織及其它公司如Master Card、Micro Soft、IBM等共同制定了安全電子交易（SET：Secure Electronic Transactions）公告。這是一個為在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對於需要支付貨幣的交易來講是至關重要的。由於設計合理，SET協議得到了許多大公司和消費者的支持，己成為全球網路的工業標准，其交易形態將成為未來「電子商務」的規范。

安全電子交易規范，為在網際網路上進行安全的電子商務提供了一個開放的標准。SET主要使用電子認證技術，其認證過程使用RS

❷ 數字證書是什麼CA證書有什麼作用

數字證書是由CA機構頒發的證明（也就是問題中提及的CA證書），它包含了公鑰、公鑰擁有者名稱內、CA 的數字簽名、有效期、授權中心名稱、證書序列號等信息。我們可以通俗的理解為數字證書是容個人或企業在網路上的身份證。

在使用數字證書的過程中應用加密技術，能夠實現：

• 身份認證：在網路中傳遞信息的雙方互相不能見面，利用數字證書可確認雙方身份，而不是他人冒充的。

• 保密性：通過使用數字證書對信息加密，只有接收方才能閱讀加密的信息，從而保證信息不會被他人竊取。

• 完整性：利用數字證書可以校驗傳送的信息在傳遞的過程中是否被篡改過或丟失。

• 防抵賴：利用數字證書進行數字簽名，可准確標示簽名人身份及驗證簽名內容，因此簽名人對簽名及簽名內容具有不可否認性，其作用與手寫簽名具有同樣的法律效力

❸ 建行，工行網銀的數字證書有有效期嗎是多長時間

1. 數字證書就是網路抄通訊中標志通訊各方身份信息的一系列數據，提供了一種在Internet上驗證您身份的方式，其作用類似於司機的駕駛執照或日常生活中的身份證.它是由一個由權威機構-----CA機構， 又稱為證書授權(Certificate Authority)中心發行的，人們可以在交往中用它來識別對方的身份。

2. 數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。

❹ 數字證書又稱什麼

別稱數字標識。

數字證書是一串能夠表明網路用戶身份信息的數字，提供了一種在計算機網路上驗證網路用戶身份的方式，因此數字證書又稱為數字標識。

數字證書就相當於社會中的身份證，如果用戶在電子商務的活動過程中安裝了數字證書，那麼即使其賬戶或者密碼等個人信息被盜取，其賬戶中的信息與資金安全仍然能得到有效的保障。

(4)數字簽名證書有效期擴展閱讀

數字證書的特性：

1、安全性。用戶申請證書時會有兩份不同證書，分別用於工作電腦以及用於驗證用戶的信息交互，這樣即使他人竊取了證書，也無法獲取用戶的賬戶信息，保障了賬戶信息。

2、唯一性。數字證書依用戶身份不同給予其相應的訪問許可權，若換電腦進行賬戶登錄，而用戶無證書備份，其是無法實施操作的，只能查看賬戶信息。

3、便利性。用戶不需要掌握加密技術或原理，就能夠直接通過數字證書來進行安全防護，十分便捷高效。

參考資料來源：網路-數字標識

❺ 輸入中國銀行密碼什麼都准確，但是最後一步打款顯示數字簽名不正確，是過期的原因

1.請您確認是否通過櫃台進行過中銀E盾的相關交易，如進行過補發交易，客戶應拿到參考號和授權碼，請使用參考號和授權碼通過網銀登錄頁面右側的CA證書下載鏈接進行證書下載。2.請您通過「中國銀行網銀USBKey數字安全證書管理工具」查看確認該中銀e盾CA證書是否已過有效期（也可通過櫃台），如確認已經過期，請客戶持開通網銀的卡/折及開通網銀卡/折的有效身份證件至櫃台網點申請證書更新。
以上內容供您參考，最新業務變動請以中行官網公布為准。
如有疑問，歡迎咨詢中國銀行在線客服或下載使用中國銀行手機銀行APP咨詢、辦理相關業務。

❻ 數字簽名的證據效率是怎麼保障的

這要詳細說一下數據簽名技術了：

所謂"數字簽名"就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對於這種電子式的簽名還可進行技術驗證，其驗證的准確度是一般手工簽名和圖章的驗證無法比擬的。「數字簽名」是目前電子商務、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。它採用了規范化的程序和科學化的方法，用於鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。

（一） 數字簽名的原理

在公鑰密碼學中，密鑰是由公開密鑰和私有密鑰組成的密鑰對。數字簽名就是用私有密鑰進行加密，接收方用公開密鑰進行解密。由於公開密鑰不能推算出私有密鑰，所以公開密鑰不會損壞私有密鑰的安全，公開密鑰無需保密可以公開傳播，而私有密鑰必須保密。因此，當某人用其私有密鑰加密信息，能夠用他的公開密鑰正確解密就可以肯定該消息是經過某人簽字的，因為其他人的公開密鑰不可能正確解密該加密信息，其他人也不可能擁有該人的私有密鑰而製造出該加密過的信息。

數字簽名並非是書面簽名的數字圖像化，而是通過密碼技術對電子文檔進行的電子形式簽名。實際上人們可以否認曾對一個文件簽過名，且筆跡鑒定的准確率並非100%，但卻難以否認一個數字簽名。因為數字簽名的生成需要使用私有密鑰，其對應的公開密鑰則用以驗證簽名，再加上目前已有一些方案，如數字證書，就是把一個實體（法律主體）的身份同一個私有密鑰和公開密鑰對綁定在一起，使得這個主體很難否認數字簽名。

就其實質而言，數字簽名是接收方能夠向第三方證明接收到的消息及發送源的真實性而採取的一種安全措施，其使用可以保證發送方不能否認和偽造信息。數字簽名的主要方式是：報文的發送方從報文文本中生成一個散列值（或報文摘要）。發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然後，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值（或報文摘要），接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。

（二）數字簽名的作用

數字簽名作為維護數據信息安全的重要方法之一，可以解決偽造、抵賴、冒充和篡改等問題，其主要作用體現在以下幾個方面：

（1）防重放攻擊。重放攻擊（Replay Attacks），是計算機世界黑客常用的攻擊方式，是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用於身份認證過程，破壞認證的正確性。這種攻擊會不斷惡意或欺詐性地重復一個有效的數據傳輸。攻擊者利用網路監聽或者其他方式盜取認證憑據，之後再把它重新發給認證伺服器。在數字簽名中，如果採用了對簽名報文加蓋時戳等或添加流水號等技術，就可以有效防止重放攻擊。

（2）防偽造。其他人不能偽造對消息的簽名，因為私有密鑰只有簽名者自己知道，所以其他人不可以構造出正確的簽名結果數據。

（3）防篡改。數字簽名與原始文件或摘要一起發送給接收者，一旦信息被篡改，接收者可通過計算摘要和驗證簽名來判斷該文件無效，從而保證了文件的完整性。

（4）防抵賴。數字簽名即可以作為身份認證的依據，也可以作為簽名者簽名操作的證據。要防止接收者抵賴，可以在數字簽名系統中要求接收者返回一個自己簽名的表示收到的報文，給發送者或受信任第三方。如果接收者不返回任何消息，此次通信可終止或重新開始，簽名方也沒有任何損失，由此雙方均不可抵賴。

（5）保密性。手寫簽字的文件一旦丟失，文件信息就極可能泄露，但數字簽名可以加密要簽名的消息，在網路傳輸中，可以將報文用接收方的公鑰加密，以保證信息機密性。

（6）身份認證。在數字簽名中，客戶的公鑰是其身份的標志，當使用私鑰簽名時，如果接收方或驗證方用其公鑰進行驗證並獲通過，那麼可以肯定，簽名人就是擁有私鑰的那個人，因為私鑰只有簽名人知道。

（三）數字證書

在網上電子交易中，商戶需要確認持卡人是信用卡或借記卡的合法持有者，同時持卡人也必須能夠鑒別商戶是否是合法商戶，是否被授權接受某種品牌的信用卡或借記卡支付。為處理這些關鍵問題，必須有一個大家都信賴的機構來發放數字安全證書。數字證書就是參與網上交易活動的各方（如持卡人、商家、支付網關）身份的代表，每次交易時，都要通過數字證書對各方的身份進行驗證。數字證書是由權威公正的第三方機構即證書授權（Certificate Authority，簡稱CA）中心簽發的，它在證書申請被認證中心批准後，通過登記服務機構將證書發放給申請者。

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。

一個標準的X.509數字安全證書包含以下一些內容：

1）證書的版本信息；

2）證書的序列號，每個證書都有一個唯一的證書序列號；

3）證書所使用的簽名演算法；

4）證書的發行機構名稱，命名規則一般採用X.500格式；

5）證書的有效期，現在通用的證書一般採用UTC時間格式；

6）證書所有人的名稱，命名規則一般採用X.500格式；

7）證書所有人的公開密鑰；

8）證書發行者對證書的簽名。

（四）時間戳

在電子商務交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。數字時間戳服務（digital timestamp service，簡稱DTS）是網上電子商務安全服務項目之一，能提供電子文件的日期和時間信息的安全保護。時間戳（timestamp），通常是一個字元序列，唯一地標識某一刻的時間。數字時間戳技術是數字簽名技術一種變種的應用，也通常在數字簽名系統中被採用。

時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：

（1）需加時間戳的文件的摘要（digest）；

（2）DTS收到文件的日期和時間；

（3）DTS的數字簽名。

一般來說，時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。數字時間戳由認證單位來加具，以DTS收到文件的時間為依據。

但是現在市場上提供時間戳服務的機構並非《電子簽名法》中所指的「電子認證服務提供者」，其未獲得工信部頒發的《電子認證服務許可證》，也不能證明文件簽署者的主體身份，在技術上和法律效力上都具有局限性。

（五）證書授權中心

1．證書授權中心，即CA中心，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的客戶發放一個數字證書，數字證書的作用是證明證書中列出的客戶合法擁有證書中列出的公開密鑰。CA中心的數字簽名使得攻擊者不能偽造和篡改證書。CA中心負責產生、分配並管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。

2．CA認證的主要工具是CA中心為網上作業主體頒發的數字證書。CA架構包括公鑰基礎設施PKI(Public Key Infrastructure,簡稱PKI)結構、高強度抗攻擊的公開加解密演算法、數字簽名技術、身份認證技術、運行安全管理技術、可靠的信任責任體系等等。從業務流程涉及的角色看，包括認證機構、數字證書庫和黑名單庫、密鑰託管處理系統、證書目錄服務、證書審批和作廢處理系統。從CA的層次結構來看，可以分為認證中心（根CA）、密鑰管理中心（KM）、認證下級中心（子CA）、證書審批中心（RA中心）、證書審批受理點（RAT）等。CA中心一般要發布認證體系聲明書，向服務的對象鄭重聲明CA的政策、保證安全的措施、服務的范圍、服務的質量、承擔的責任、操作流程等條款。

根據PKI的結構，身份認證的實體需要有一對密鑰，分別為私鑰和公鑰。其中的私鑰是保密的，公鑰是公開的。從原理上講，不能從公鑰推導出私鑰，如用窮舉法來求私鑰則由於目前的技術、運算工具和時間的限制而不可能。每個實體的密鑰總是成對出現，即一個公鑰必定對應一個私鑰。公鑰加密的信息必須由對應的私鑰才能解密；同樣，私鑰做出的簽名，也只有配對的公鑰才能解密。公鑰有時用來傳輸對稱密鑰，這就是數字信封技術。密鑰的管理政策是把公鑰和實體綁定，由CA中心把實體（即經實名認證的客戶）的信息和實體的公鑰製作成數字證書，證書的尾部必須有CA中心的數字簽名。由於CA中心的數字簽名是不可偽造的，因此實體的數字證書不可偽造。CA中心對實體的物理身份資格審查通過後，才對申請者頒發數字證書，將實體的身份與數字證書對應起來。由於實體都信任提供第三方服務的CA中心，因此，實體可以信任由CA中心頒發數字證書的其他實體，放心地在網上進行作業和交易。

3．CA中心主要職責是頒發和管理數字證書。其中心任務是頒發數字證書，並履行客戶身份認證的責任。CA中心在安全責任分散、運行安全管理、系統安全、物理安全、資料庫安全、人員安全、密鑰管理等方面，需要十分嚴格的政策和規程，要有完善的安全機制。另外要有完善的安全審計、運行監控、容災備份、事故快速反應等實施措施，對身份認證、訪問控制、防病毒防攻擊等方面也要有強大的工具支撐。CA中心的證書審批業務部門則負責對證書申請者進行資格審查，並決定是否同意給該申請者發放證書，並承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切後果，因此，它應是能夠承擔這些責任的機構擔任；證書操作部門（Certificate Processor，簡稱CP）負責為已授權的申請者製作、發放和管理證書，並承擔因操作運營錯誤所產生的一切後果，包括失密和為沒有授權者發放證書等，它可以由審核業務部門自己擔任，也可委託給第三方擔任。

4．CA為電子商務服務的證書中心，是PKI體系的核心。它為客戶的公開密鑰簽發公鑰證書、發放證書和管理證書，並提供一系列密鑰生命周期內的管理服務。它將客戶的公鑰與客戶的名稱及其他屬性關聯起來，為客戶之間電子身份進行認證。證書中心是一個具有權威性、可信賴性和公證性的第三方機構。它是電子商務存在和發展的基礎。

認證中心在密碼管理方面的作用如下：

1）自身密鑰的產生、存儲、備份/恢復、歸檔和銷毀。從根CA開始到直接給客戶發放證書的各層次CA，都有其自身的密鑰對。CA中心的密鑰對一般由硬體加密伺服器在機器內直接產生，並存儲於加密硬體內，或以一定的加密形式存放於密鑰資料庫內。加密備份於IC卡或其他存儲介質中，並以高等級的物理安全措施保護起來。密鑰的銷毀要以安全的密鑰沖寫標准，徹底清除原有的密鑰痕跡。需要強調的是，根CA密鑰的安全性至關重要，它的泄露意味著整個公鑰信任體系的崩潰，所以CA的密鑰保護必須按照最高安全級的保護方式來進行設置和管理。

2）為認證中心與各地注冊審核發放機構的安全加密通信提供安全密鑰管理服務。在客戶證書的生成與發放過程中，除了有CA中心外，還有注冊機構、審核機構和發放機構（對於有外部介質的證書）的存在。行業使用范圍內的證書，其證書的審批控制，可由獨立於CA中心的行業審核機構來完成。CA中心在與各機構進行安全通信時，可採用多種手段。對於使用證書機制的安全通信，各機構（通信端）的密鑰產生、發放與管理維護，都可由CA中心來完成。

3）確定客戶密鑰生存周期，實施密鑰吊銷和更新管理。每一張客戶公鑰證書都會有有效期，密鑰對生命周期的長短由簽發證書的CA中心來確定。各CA系統的證書有效期限有所不同，一般大約為2～3年。密鑰更新不外為以下兩種情況：一是密鑰對到期；二是密鑰泄露後需要啟用新的密鑰對（證書吊銷）。密鑰對到期時，客戶一般事先非常清楚，可以採用重新申請的方式實施更新。

採用證書的公鑰吊銷，是通過吊銷公鑰證書來實現的。公鑰證書的吊銷來自於兩個方向，一個是上級的主動吊銷，另一個是下級主動申請證書的吊銷。當上級CA對下級CA不能信賴時（如上級發現下級CA的私鑰有泄露的可能），它可以主動停止下級CA公鑰證書的合法使用。當客戶發現自己的私鑰泄露時，也可主動申請公鑰證書的吊銷，防止其他主體繼續使用該公鑰來加密重要信息，而使非法主體有竊密的可能。一般而言，在電子商務實際應用中，可能會較少出現私鑰泄露的情況，多數情況是由於某個客戶由於組織變動而調離該單位，需要提前吊銷代表企業身份的該主體的證書。

4）提供密鑰生成和分發服務。CA中心可為客戶提供密鑰對的生成服務，它採用集中或分布式的方式進行。在集中的情形下，CA中心可使用硬體加密伺服器，為多個客戶申請成批的生成密鑰對，然後採用安全的信道分發給客戶。也可由多個注冊機構（RA）分布生成客戶密鑰對並分發給客戶。

5）提供密鑰託管和密鑰恢復服務。CA中心可根據客戶的要求提供密鑰託管服務，備份和管理客戶的加密密鑰對。當客戶需要時可以從密鑰庫中提出客戶的加密密鑰對，為客戶恢復其加密密鑰對，以解開先前加密的信息。這種情形下，CA中心的密鑰管理器，採用對稱加密方式對各個客戶私鑰進行加密，密鑰加密密鑰在加密後即銷毀，保證了私鑰存儲的安全性。密鑰恢復時，採用相應的密鑰恢復模塊進行解密，以保證客戶的私鑰在恢復時沒有任何風險和不安全因素。同時，CA中心也應有一套備份庫，避免密鑰資料庫的意外毀壞而無法恢復客戶私鑰。

6）其他密鑰生成和管理、密碼運算功能。CA中心在自身密鑰和客戶密鑰管理方面的特殊地位和作用，決定了它具有主密鑰、多級密鑰加密密鑰等多種密鑰的生成和管理功能。對於為客戶提供公鑰信任、管理和維護整個電子商務密碼體系的CA中心來講，其密鑰管理工作是一項十分復雜的任務，它涉及到CA中心自身的各個安全區域和部件、注冊審核機構以及客戶端的安全和密碼管理策略。

（六）EID對於數字簽名的意義

1、EID是派生於居民身份證、在網上遠程證實身份的證件，即「電子身份證」。在技術上。EID也是採用PKI（Public Key Infrastructure，公鑰基礎設施）的密鑰對技術，由智能晶元生成私鑰，再由公安部門統一簽發證書、並經現場身份審核後，再發放給公民。具體而言，PKI技術是一套Internet安全解決方案，PKI體系結構採用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。EID的持證人在使用時自設PIN碼激活證件，並通過通用讀卡器通過網路遠程向服務機構出示；服務機構通過EID的身份信息服務後台認證EID的有效性並獲取相應許可權內的信息。

2、 EID對冒用、截取、篡改、偽造之防範。

如上文所述，EID採用了PKI、硬證書＋PIN碼的技術，通過這些技術可以有效防止在網路上身份信息被截取、篡改和偽造。此外，由於EID是通過密碼技術來將個人的身份與後台資料庫關聯，身份會被唯一認定，理論上很難被假冒。

即使EID不慎遺失也不用擔心被冒用。因為EID由公安部門的網路身份管理中心統一簽發，若持證人遺失EID，可即刻向網路身份管理中心掛失，該EID將立刻被凍結或失效。通常，在沒有EID的情況下，如果身份證丟失，因為身份證缺少注銷功能，即使掛失補辦了，社會上可能還會有兩個身份證在流通。而EID具有唯一性，需要聯網認證，申領了新的，舊的就自動被注銷而無法再使用，因此EID持有者被認定為是可信的。而且由於EID具有PIN碼，別人撿到或盜取後也無法使用。EID本身採用先進密碼技術，重要信息在key中物理上就無法被讀取，因此無法被破解，從而有效避免被他人冒用。

如果發生網路賬號被盜情況，只要EID還在用戶手上，就可以立即重置密碼，因此賬戶就沒有被盜用買賣的空間了。還可以規定關鍵操作必須使用EID，如網路上的交易行為必須插入EID，這樣即使密碼被竊取，也不會造成損失。

3、綜上所述，EID實質上是數字簽名技術＋PIN碼的技術的結合體，其在製作時就已經由公安部門進行了實名認證，不需要在使用時再進行實名認證，這彌補了CA機構在頒發CA證書時需要進行實名審核的弊端，同時PIN碼技術的採用使身份證所有人成為使用其EID的唯一主體，有效避免了盜用或冒用的發生。筆者認為，基於頒發機構的權威性和技術的可靠性，隨著EID的廣泛使用，將可以完全取代現有的CA機構在數字簽名系統中的使用。

❼ 如何驗證數字簽名證書，有什麼用途

什麼是數字簽名？簡單來說，數字簽名是公鑰密碼的逆應用：用私鑰加密消息，用公鑰解密消息。數字簽名是為了證明對方發的信息並沒有被更改過，但前提條件是你確認對方是可靠的，即你擁有的公鑰確實是對方的公鑰而不是其他人的公鑰。而數字證書就是為了證明你擁有的公鑰確實是對方的。

一、數字證書的用途

以上「數字簽名」例子中，我們都默認了一個前提條件：女神擁有的確實是你的公鑰，如果女神的公鑰被別人調包了呢？繼續上面的實例：如果女神的公鑰被你的一個情敵調包換成情敵的公鑰了，當你把表白和數字簽名發給女神的過程中，情敵把信息攔截了，攔截後重新寫了一份表白並用他自己的私鑰生成數字簽名（重復你的操作，只不過內容已經換成情敵的了）重新發給女神，這時女神並不知道「你」已經換成「情敵」了，那你就悲劇了哦。這時數字證書就起作用了，數字證書就是為了給女神證明發信人的身份的。

2.數字證書包含的內容

在現實生活里，為了證明我們身份，公安機關會給每個人頒發一個身份證。在信息世界裡，數字證書就是對方的身份證。同樣的，數字證書也有專門的發證機關Certificate Authority，簡稱CA。發證機關頒發的數字證書里包含以下基本內容：

1.證書頒發機關

2.證書持有者名稱/伺服器域名

3.證書有效期

4.證書簽名演算法（摘要演算法和加密演算法）

5.證書簽名值

6.證書所有者加密演算法

7.證書所有者公鑰

二、數字證書如何驗證

現實中要驗證一個人的身份，首先核對這個人的身份證有效性，然後再核對本人相貌跟身份證上的照片是否一致。數字證書也是一樣的驗證思路：

1.驗證數字證書有效性

數字證書里包含了發證機關對這張證書的數字簽名，而瀏覽器默認內置了發證機關的公鑰（暫且這么理解），拿到公鑰後先解密證書的數字簽名拿到證書的摘要，然後瀏覽器用證書的摘要演算法重新計算下證書的摘要，最後比對這兩者的值是否相等，如果相等證明這張數字證書確實是發證機關頒發的有效證書。

三、驗證「相貌」

如何驗證該證書的所有者就是跟瀏覽器正在對話的網站呢？

數字證書包含了web網站伺服器的一個或者多個域名，瀏覽器會驗證該域名跟正在對話的伺服器的域名是否匹配（防止MITM）。

四、數字證書的級聯

頒發證書的機構是可以有級聯關系的，即A機構可以委派B機構頒發證書，B機構也可以委派C頒發證書，如果網站的證書是C頒發的，那麼需要用B的證書去驗證C頒發的證書，同理需要用A機構的證書去驗證B頒發的證書，這個過程是遞歸的，A機構的證書被稱為「根證書」。「根證書」是配置在我們電腦上，默認是安全的。

如果用戶遇到的問題不能解決，可通過wosign官網客服網頁鏈接尋求幫助，凡是選擇wosign ssl證書的網站用戶，wosign可提供免費一對一的ssl證書技術部署支持網頁鏈接，免除後顧之憂。

❽ 同樣的數字證書在不同電腦上為什麼會有無效數字簽名的問題

證書無效的意思，可能是這些原因引起的：

1. 電腦時間，日期設置不正確，沒有與互聯網同步，導致了電腦識別證書的有效期與電腦的日期有出入，就會提示風險信息。

2. 部署好：這個問題出於網站所有者。網站所有者沒有把正確的電腦上面，就會導致證書無效。

3. 該證書是自簽證書：自簽證書是網站所有者或者非法分子開發的證書，這種證書是不被瀏覽器或者操作系統識別或者信任的，一般來說要系統上面有根證書，下一級的證書才能受信任，才是有效的。

4. 證書伺服器出故障，這個是由證書簽發的CA機構伺服器出故障導致的。如果還有什麼關於證書問題，可以向沃通證書簽發中心咨詢。

❾ 工商銀行的u盾數字證書過期有影響嗎

U盾證書有效期為5年，到期免費更新後可繼續使用，無需重新辦理。在證書到期前90天或到期後1800天內，請您登錄網上銀行，選擇「我的網銀-安全-安全管理-認證管理-U盾-證書更新」功能辦理。若為通用U盾，還可登錄手機銀行，選擇「我的-安全中心-更多-安全介質管理-U盾證書更新」功能辦理。

（作答時間：2020年07月21日，如遇業務變化請以實際為准。）

❿ 你知道數字簽名的是一個怎樣的過程嗎

數字簽名，就是只有信息的發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明，數字簽名是非對稱密鑰加密技術與數字摘要技術的應用。

2. 數字簽名與驗證過程

網上通信的雙方，在互相認證身份之後，即可發送簽名的數據電文。數字簽名的全過程分兩大部分，即簽名與驗證。

數字簽名過程分兩部分：左側為簽名，右側為驗證過程。即發方將原文用哈希演算法求得數字摘要，用簽名私鑰對數字摘要加密得數字簽名，發方將原文與數字簽名一起發送給接受方;收方驗證簽名，即用發方公鑰解密數字簽名，得出數字摘要;收方將原文採用同樣哈希演算法又得一新的數字摘要，將兩個數字摘要進行比較，如果二者匹配，說明經數字簽名的電子文件傳輸成功。

3. 數字簽名的操作過程

數字簽名的操作過程需要有發方的簽名證書的私鑰及其驗證公鑰。

數字簽名操作具體過程如下：首先是生成被簽名的電子文件(《電子簽名法》中稱數據電文)，然後對電子文件用哈希演算法做數字摘要，再對數字摘要用簽名私鑰做非對稱加密，即做數字簽名;之後是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進行封裝，形成簽名結果發送給收方，待收方驗證。

4. 數字簽名的驗證過程

接收方收到發方的簽名結果後進行簽名驗證，其具體操作過程如下：

接收方收到數字簽名的結果，其中包括數字簽名、電子原文和發方公鑰，即待驗證的數據。接收方進行簽名驗證。驗證過程是：接收方首先用發方公鑰解密數字簽名，導出數字摘要，並對電子文件原文做同樣哈希演算法得出一個新的數字摘要，將兩個摘要的哈希值進行結果比較，相同簽名得到驗證，否則無效。這就做到了《電子簽名法》中所要求的對簽名不能改動，對簽署的內容和形式也不能改動的要求。

5. 數字簽名的作用

如果接收方對發方數字簽名驗證成功，就可以說明以下三個實質性的問題：

(1) 該電子文件確實是由簽名者的發方所發出的，電子文件來源於該發送者。因為，簽署時電子簽名數據由電子簽名人所控制。

(2) 被簽名的電子文件確實是經發方簽名後發送的，說明發方用了自己的私鑰做的簽名，並得到驗證，達到不可否認的目的。

(3) 接收方收到的電子文件在傳輸中沒有被篡改，保持了數據的完整性，因為，簽署後對電子簽名的任何改動都能夠被發現。

以上三點就是對《電子簽名法》中所規定的「安全的電子簽名具有與手寫簽名或者蓋章同等的效力」的具體體現。