CA證書演算法

『壹』 什麼是CACA認證是什麼

CA是負責簽發證書、認證證書、管理已頒發證書的機關。CA認證即電子認證服務是指為電子簽名相關各方提供真實性、可靠性驗證的活動。

證書頒發機構（CA, Certificate Authority）即頒發數字證書的機構。是負責發放和管理數字證書的權威機構，並作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發放證書，還要對獲款的銀行、網關發放證書。

(1)CA證書演算法擴展閱讀：

根據《電子認證服務管理辦法》第五條 電子認證服務機構應當具備下列條件：

（一）具有獨立的企業法人資格。

（二）具有與提供電子認證服務相適應的人員。從事電子認證服務的專業技術人員、運營管理人員、安全管理人員和客戶服務人員不少於三十名，並且應當符合相應崗位技能要求。

（三）注冊資本不低於人民幣三千萬元。

（四）具有固定的經營場所和滿足電子認證服務要求的物理環境。

（五）具有符合國家有關安全標準的技術和設備。

（六）具有國家密碼管理機構同意使用密碼的證明文件。

（七）法律、行政法規規定的其他條件。

『貳』 如何生成CA證書

1. 創建根證書密鑰文件(自己做CA)root.key：

2. 創建根證書的申請文件root.csr：

3. 創建一個自當前日期起為期十年的根證書root.crt：

4. 創建伺服器證書密鑰server.key：

5. 創建伺服器證書的申請文件server.csr

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt

7. 創建客戶端證書密鑰文件client.key

8. 創建客戶端證書的申請文件client.csr

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

『叄』 ca如何產生公鑰證書

CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，並對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。。
CA 也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。
如果用戶想得到一份屬於自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份後，便為他分配一個公鑰，並且 CA 將該公鑰與申請者的身份信息綁在一起，並為之簽字後，便形成證書發給申請者。
如果一個用戶想鑒別另一個證書的真偽，他就用 CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。

證書

證書實際是由證書簽證機關（CA）簽發的對用戶的公鑰的認證。

證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509 國際標准。

加密：

我們將文字轉換成不能直接閱讀的形式（即密文）的過程稱為加密。

解密：

我們將密文轉換成能夠直接閱讀的文字（即明文）的過程稱為解密。

如何在電子文檔上實現簽名的目的呢？我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名，方法如下：
信息發送者用其私鑰對從所傳報文中提取出的特徵數據（或稱數字指紋）進行RSA演算法操作，以保證發信人無法抵賴曾發過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文後，就可以用發送者的公鑰對數字簽名進行驗證。

在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數) 生成的。對這些HASH函數的特殊要求是：

1．接受的輸入報文數據沒有長度限制；
2．對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出；
3．從報文能方便地算出摘要；
4．難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；
5．難以生成兩個不同的報文具有相同的摘要。

驗證：

收方在收到信息後用如下的步驟驗證您的簽名：

1．使用自己的私鑰將信息轉為明文；
2．使用發信方的公鑰從數字簽名部分得到原摘要；
3．收方對您所發送的源信息進行hash運算，也產生一個摘要；
4．收方比較兩個摘要，如果兩者相同，則可以證明信息簽名者的身份。

如果兩摘要內容不符，會說明什麼原因呢？
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰，這就表明信息的簽名者不可信；也可能收到的信息根本就不是簽名者發送的信息，信息在傳輸過程中已經遭到破壞或篡改。

數字證書：

答: 數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。

使用數字證書能做什麼?

數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之於眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件，發送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發件人的身份，發送者要用自己的私鑰對信件進行簽名；收件人可使用發送者的公鑰對簽名進行驗證，以確認發送者的身份。
在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現，電子郵件、在線交易和信用卡購物的安全才能得到保證。

認證、數字證書和PKI解決的幾個問題?

保密性 - 只有收件人才能閱讀信息。
認證性 - 確認信息發送者的身份。
完整性 - 信息在傳遞過程中不會被篡改。
不可抵賴性 - 發送者不能否認已發送的信息。

『肆』 電子簽約里的數字證書、CA、CA證書，你分得清嗎

關於電子簽約過程中出現的數字證書、CA等概念及其作用，我們結合實際場景加以說明：

假設甲公司要給乙公司發送一份機密的文件，那麼這次傳輸需要確保以下幾點：

1、文件內容不被泄露：

甲公司對文件加密（對稱加密）後，將加密後的文件發送給乙公司。乙公司只有使用甲公司提供的秘鑰A才可查看到文件內容。

2、要確保只有乙公司能接收：

為了保障秘鑰A只有乙公司能接受到，甲公司將該秘鑰A再加密，此處需要說明該加密技術為非對稱加密演算法，非對稱演算法，具有兩個密鑰，一個是公鑰一個是私鑰，公鑰所有人可見，而私鑰只有自己可見，它具有這樣的性質：用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。

所以，當甲公司使用乙公司的公鑰對秘鑰A加密時，只有使用乙公司的私鑰才可以解密，從而保障了私鑰A傳輸安全，進而確保了只有乙公司才能使用私鑰A查看到甲公司傳輸的文件內容。

3、怎樣保證甲公司使用的公鑰就是乙公司的：

如果甲公司使用的乙公司以外其他人的公鑰，那同樣無法保障文件內容的安全性。此時就需要提到CA和數字證書。

CA (Certificate Authority) ：全稱證書管理機構，即數字證書的申請、簽發及管理機關。其主要功能為： 產生密鑰對、生成數字證書、分發密鑰、密鑰管理等。

數字證書：是由CA機構頒發的證明（也就是問題中提及的CA證書），它包含了公鑰、公鑰擁有者名稱、CA 的數字簽名、有效期、授權中心名稱、證書序列號等信息。我們可以通俗的理解為數字證書是個人或企業在網路上的身份證。

此時，甲公司通過向CA機構申請並獲得乙公司的公鑰後，即可對私鑰A進行加密，並確保確實是乙公司的公鑰，從而確保只有乙公司使用其私鑰才可以打開加密文件並查看內容。

『伍』 如何生成CA證書

一般情況下，如果能找到可用的證書，就可以直接使用，只不過會因證書的某些信息不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效，但這並不影響使用。
需要手工生成證書的情況有：
找不到可用的證書
需要配置雙向SSL，但缺少客戶端證書
需要對證書作特別的定製
首先，無論是在Linux下還是在Windows下的Cygwin中，進行下面的操作前都須確認已安裝OpenSSL軟體包。
1. 創建根證書密鑰文件(自己做CA)root.key：
openssl genrsa -des3 -out root.key
輸出內容為：
[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for root.key: ← 重新輸入一遍密碼
2. 創建根證書的申請文件root.csr：
openssl req -new -key root.key -out root.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 輸入前面創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家代號，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 此時不輸入
Email Address []:[email protected] ← 電子郵箱，可隨意填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入
3. 創建一個自當前日期起為期十年的根證書root.crt：
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 輸入前面創建的密碼
4. 創建伺服器證書密鑰server.key：
openssl genrsa –des3 -out server.key 2048
輸出內容為：
[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
5.創建伺服器證書的申請文件server.csr：
openssl req -new -key server.key -out server.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []:www.mycompany.com ← 伺服器主機名，若填寫不正確，瀏覽器會報告證書無效，但並不影響使用
Email Address []:[email protected] ← 電子郵箱，可隨便填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入
6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入前面創建的密碼
7. 創建客戶端證書密鑰文件client.key：
openssl genrsa -des3 -out client.key 2048
輸出內容為：
[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for client.key: ← 重新輸入一遍密碼
8. 創建客戶端證書的申請文件client.csr：
openssl req -new -key client.key -out client.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 輸入上一步中創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名稱，拼音
Locality Name (eg, city) []:BeiJing ← 市名稱，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以隨便填
Email Address []:[email protected] ← 電子郵箱，可以隨便填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填
9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入上面創建的密碼
10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
輸出內容為：
[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 輸入上面創建的密碼
Enter Export Password: ← 輸入一個新的密碼，用作客戶端證書的保護密碼，在客戶端安裝證書時需要輸入此密碼
Verifying – Enter Export Password: ← 確認密碼
11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件
.crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）
參考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509證書一般會用到三類文，key，csr，crt。
Key是私用密鑰openssl格，通常是rsa演算法。
Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。
crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成
opensslgenrsa -des3 -out server.key 2048
這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:
opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt
opensslreq -new -x509 -key server.key -out ca.crt -days3650
生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法
opensslreq -new -key server.key -outserver.csr
需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法
CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。
opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt
輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。
最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt
證書合並：
catserver.key server.crt > server.pem

『陸』 什麼是CA證書

CA是負責簽發證書復、認制證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，並對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。

『柒』 如何獲取數字證書(x509Certificate)中的指紋演算法

創建X509證書方法較多，在Windows 環境下大致總結了幾中辦法，
1) 通過CA獲取證書，
2) 通過微軟提供的makecert 工具得到測試證書
3) 編程的方法創建，.Net提供了 X509Certificate2 類，該類可以用於創建證書，但只能從RawData中創建，創建後無法修改除FriendlyName以外的任何屬性。

我在互聯網上找了很久，始終沒有找到完全通過程序創建自定義的證書的方法。後來想了一個折中辦法，就是用程序調用 makecert.exe 先生成一個證書，證書的一些參數如Subject，有效期，序列號等可以通過參數傳入，然後把生成的證書文件讀到Rawdata中，得到X509Certificate2 類型的證書對象。當然這種方法確實比較笨，必須要依賴外部進程。等後面有時間的話，我還是想按照X509 V3 標准，自己創建RawData，然後生成證書，這樣應該是比較靈活的做法。不知道網友們有沒有什麼更好的方法來創建一個自定義的證書。

通過 makecert.exe 創建X509證書的代碼如下，供大家參考

static object semObj = new object();

/// <summary>
/// 自定義的證書信息
/// </summary>
public class T_CertInfo
{
public String FriendlyName;
public String Subject;
public DateTime BeginDate;
public DateTime EndDate;
public int SerialNumber;
}

/// <summary>
/// 生成X509證書
/// </summary>
/// <param name="makecrtPath">makecert進程的目錄</param>
/// <param name="crtPath">證書文件臨時目錄</param>
/// <param name="certInfo">證書信息</param>
/// <returns></returns>
public static X509Certificate2 CreateCertificate(String makecrtPath, String crtPath,
T_CertInfo certInfo)
{
Debug.Assert(certInfo != null);
Debug.Assert(certInfo.Subject != null);

string MakeCert = makecrtPath + "makecert.exe";
string fileName = crtPath + "cer";

string userName = Guid.NewGuid().ToString();

StringBuilder arguments = new StringBuilder();

arguments.AppendFormat("-r -n \"{0}\" -ss my -sr currentuser -sky exchange ",
certInfo.Subject);

if (certInfo.SerialNumber > 0)
{
arguments.AppendFormat("-# {0} ", certInfo.SerialNumber);
}

arguments.AppendFormat("-b {0} ", certInfo.BeginDate.ToString(@"MM\/dd\/yyyy"));
arguments.AppendFormat("-e {0} ", certInfo.EndDate.ToString(@"MM\/dd\/yyyy"));
arguments.AppendFormat("\"{0}\"", fileName);

『捌』 CA認證分級密鑰的結構,及公式,每一級的結構,及結構圖詳細解釋

----政府上網和電子商務是今年計算機應用領域的兩大熱點。要推廣這兩方面的應用，解決網路安全是其中十分關鍵的一環，例如不久前中國人民銀行籌建的金融認證中心（RootCA）就是為建設我國電子商務提供安全保障的基礎設施。

----那麼，到底什麼是認證中心呢？在回答這個問題之前，我們首先需要介紹數字證書的概念。

----數字證書就是網路通信中標志通信各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。數字證書的格式一般採用X.509國際標准。一個標準的X.509數字證書包含以下一些內容：

證書的版本信息；
證書的序列號，每個用戶都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.400格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950～2049；
證書所有人的名稱，命名規則一般採用X.400格式；
證書所有人的公開密鑰（關於公開密鑰的信息詳見非對稱密碼演算法的有關內容）；
證書發行者對證書的簽名。
----此外，X.509證書格式還預留了擴展，用戶可以根據自己的需要進行擴展。目前比較典型的擴展如：MicrosoftIE的擴展、Netscape的擴展和SET（SecureElectronicTransaction）的擴展等。

----我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己發送的信息不能抵賴。

----認證中心就是一個負責發放和管理數字證書的權威機構。對於一個大型的應用環境，認證中心往往採用一種多層次的分級結構，各級的認證中心類似於各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。處在最高層的是金融認證中心（RootCA），它是所有人公認的權威，如人民銀行總行的CA。認證中心的系統結構如下圖所示。

----認證中心主要有以下幾種功能：

----證書的頒發

----中心接收、驗證用戶（包括下級認證中心和最終用戶）的數字證書的申請，將申請的內容進行備案，並根據申請的內容確定是否受理該數字證書申請。如果中心接受該數字證書申請，則進一步確定給用戶頒發何種類型的證書。新證書用認證中心的私鑰簽名以後，發送到目錄伺服器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用認證中心的簽名。

----證書的更新

----認證中心可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書。

----證書的查詢

----證書的查詢可以分為兩類，其一是證書申請的查詢，認證中心根據用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄伺服器來完成，目錄伺服器根據用戶的請求返回適當的證書。

----證書的作廢

----當用戶的私鑰由於泄密等原因造成用戶證書需要申請作廢時，用戶需要向認證中心提出證書作廢請求，認證中心根據用戶的請求確定是否將該證書作廢。

----另外一種證書作廢的情況是證書已經過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表(CertificateRevocationList，CRL)來完成上述功能。

----證書的歸檔

----證書具有一定的有效期，證書過了有效期之後就將被作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名，這時我們就需要查詢作廢的證書。基於此類考慮，認證中心還應當具備管理作廢證書和作廢私鑰的功能。

----總的說來，基於認證中心的安全方案應該很好地解決網上用戶身份認證和信息安全傳輸問題。一般一個完整的安全解決方案包括以下幾個方面：

----認證中心的建立；

----密碼體制的選擇，現在一般都採用混合密碼體制（即對稱密碼和非對稱密碼的結合）；

----安全協議的選擇，目前較常用的安全協議有：SSL（SecureSocketLayer）、S－HTTP（SecureHTTP）和SET等。

----其中，認證中心的建立是實現整個網路安全解決方案的關鍵和基礎，它的建立對Internet上電子商務與政府上網應用的開展具有非常重要的意義。

幾個著名的
電子商務協議
中國科學院數學研究所
周龍驤

--------------------------------------------------------------------------------

一Digicash
----Digicash是一個匿名的數字現金協議。所謂匿名是指消費者在消費中不會暴露其身份，例如現金交易(雖然鈔票有號碼，但交易中一般不會加以記錄)。該協議的步驟如下：
消費者從銀行取款，他收到一個加密的數字錢幣(Token)，此Token可當錢用；
消費者對該Token作加密變換，使之仍能被商家檢驗其有效性，但已不能追蹤消費者的身份；
消費者在某商家消費即使用該Token以購物或購買服務，消費者進一步對該Token用密碼變換以納入商家的身份；
商家檢驗該Token以確認以前未收到過此Token；
商家給消費者發貨；
商家將該電子Token送銀行；
銀行檢驗該Token的唯一性。至此消費者的身份仍保密。除非銀行查出該Token被消費者重復使用，則消費者的身份將會被暴露，消費者的欺詐行為也暴露了。
----在以上的第3步若發生了通信故障，則消費者無法判斷商家究竟是否已收到該電子Token。此時消費者有兩種選擇：

將其電子Token返回給銀行或到另一商家處消費。如果消費者這樣做了，而商家事實上在第3步已收到了該Token，則當商家去銀行將該Token兌現時會發現該Token的重復使用。
消費者不採取行動，既不另行消費也不退還給銀行。如果消費者這樣做了，而商家在第3步事實上未收到該Token，則商家自然不會發貨。這樣一來，消費者既未收到所購之物，也未花費該電子錢幣，肯定受到了損失。
----可見該數字現金協議是有缺陷的。

二FirstVirtual
----FirstVirtual允許客戶自由地購買商品，然後FirstVirtual使用E

『玖』 SSL 證書的演算法有哪些

為了考慮瀏覽器兼容性，通常使用以下演算法：
加密演算法專：RSA
哈希簽名演算法：SHA256
加密位數：屬2048
最近ECC演算法也比較普遍，主要有優點讀取速度快了，但相反瀏覽器支持率降低了，首先IE7、IE6是肯定不支持的，甚至IE8也不支持。