1. 数字证书电子密钥的图标不见了
可能只有取消了
2. 数字证书的密码都是数字嘛
不是,是字符
什么是数字证书?
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
3. 数字证书与私钥什么关系
什么是数字证书?
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在公钥与私钥管理方面,数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。
数字签名包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
4. 数字证书是什么,公钥加密和私钥签名
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。
另一方面,甲方可以使用乙方的公钥对机密信息进行签名后再发送给乙方;乙方再用自己的私匙对数据进行验签。
甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要。
非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。
5. 查询不到数字证书,请插入数字证书密钥!是什么意思
下载数字证书、、、、不然就不能输入密码,还有种情况就是,你不会是网盾没插吧、、、、、汗、
6. 在用支付宝导入数字证书时的密钥是什么
这是备来份密钥,可以防止其他人非法盗自用你的密钥。这个密钥在你申请证书的时候就已经输入了。忘记了数字证书密钥,可以申请注销证书,然后重新申请一个。
具体安装操作步骤如下。
1,先登录支付宝帐号,登录后点击后台网页顶部的“安全中心”。
2,在打开网页的左侧就会看见如下图的提示,显示已经是数字证书用户,但本地并无证书,点击管理。
3,点击安装数字证书。
4,选择使用地点,输入随机验证码。
5,需要输入手机接收到的短信验证码。
6,点击确定后会弹出证书安装窗口,点击是就会开始安装证书。
7,安装成功后,就会显示本机正在使用的证书。
7. 关于支付宝数字证书密钥的问题
您好,我也遇到了此问题,您是怎么解决的呀!
8. 密钥和数字证书
淘宝的支付宝所申请的数字证书,是可以备份到电脑里的,它是PFX文件格式的,同时也可以复制到U盘里,该保存方式两者意义是一样的,只是保存在U盘里可以防止电脑瘫痪时无法找回证书,可以将该证书拷到其他电脑上安装.这里的U盘是普通的USB移动存储器,可移动的存储设备.
银行所给的所谓U盾,它是是将 USB 读卡器和 IC卡芯片集成在一起的硬件设备,用来进行网络信息安全身份认证和网络通讯加密,可以在任何具有USB接口的计算机上使用,是客户端数字证书最理想的物理载体。 里面的数字证书是不可以复制到自己的U盘里的.
因为U盾都有一定的成本,淘宝的数字证书也可以存放于U盾中,只是大家不一定愿意花钱去购买.U盾的内存一般都比较小的,有32K,64K,128K之类的,只适合存放数字证书的,比我们普通用的U盘内存小得多了,但是它可以对数字证书进行加密存放,安全级别也高一些.
淘宝里如果有两个账户,所以支付宝也需要有两个,每个支付宝对应一个数字证书,支付宝数字证书是用于识别客户端身份的,每一个数字证书对应一个客户的身份,也就相当于"电子身份证",似乎同一个银行账户不可以使用两个支付宝账号哦,具体的支付宝的规则,您还是问问那边的客服吧,我也不太清楚.
9. 数字证书管理及密钥制作服务系统登陆密码怎么改
按照如下流程操作。 1. 为保护您的账户信息安全可靠,请您修改登陆密码。 【操作说明】:点击“账户信息”→点击“修改密码”,输入旧密码、新密码, 点击“提交更改”,即可修改您的登陆密码。 2. 为便于与您联系,请您填写联系方式。 【操作说明】:点击“账户信息”→点击“更改机构信息”,输入“公章名称”、 联系人信息(包括“姓名”、“电子邮件”、“联系电话”)、“地址”、“邮编”、“传 真”,点击“提交更改”,即可更新您的联系方式。 3. 请您填写影院、影厅、服务器、投影机的信息。 【操作说明】:点击“申请变更信息”→点击“更改影院信息”, 1) 填写影院基本信息:选择“影院所属院线”、“影院所在省市”、“成立时间”; 2) 填写影厅基本信息:点击“ ”,弹出“ ”, 填写“影厅名称”、选择“影厅属性”(“数字厅”、“胶片厅”)。如果您的影 院建有多个影厅,请您重复以上操作即可填写所有影厅信息。 影院及影厅信息填写完毕后点击“提交更改”,即可提交关于影院和影厅信 息的申请。此时页面跳转到“分配服务器”。 3) 填写每个影厅的设备信息,首先选择“是否支持3D”放映; 4) 点击“服务器信息”后面的“ ”,点击“序列号”后面的方框,选择“服务 器品牌”、“服务器型号”或填写“服务器序列号”,点击“搜索”,此时页面 内将显示符合搜索条件的结果。选择服务器(点选服务器“序号”前面的圆 圈),点击“下载测试密钥”、“1.3K 测试影片包”或“2K 测试影片包”(用 以验证选择的服务器是否正确),点击“选择服务器”即可为该影厅分配服 务器。如果您想取消为该影厅分配服务器的操作,点击“取消”;选择好服 务器后选择“安装时间”; 5) 点击“投影机信息”后面的“ ”,选择“投影机厂商”、“型号”,填写“序 列号”,选择“安装时间”; 6) 当您将各影厅的服务器、投影机信息全部填好后点击“提交更改”,即可提 交分配服务器的申请。此时页面跳转到“服务器分配申请”。 7) 此时如果您想取消分配服务器的申请,点选“序号”前面的圆圈,点击“取 消所选申请”,即可取消该次申请。 【注】:关于影院及影厅信息的申请需要等待院线和电影局的审核;关于分配服 务器的申请需要等待院线的审核。 ☆为保证您及时获取影片密钥,请您务必验证分配的服务器信息是否正确。 1) 在分配服务器时下载测试影片包。如果您未在分配服务器时下载测试影片 包,点击“查看申请状态”→点击“下载测试影片包”→点击“1.3K 测试影 片包”或“2K 测试影片包”(测试影片包只需下载一次即可)。 2) 在分配服务器时下载测试密钥。 3) 将测试影片包和测试密钥下载到服务器进行放映。如果可以正常放映测试影 片,即可验证您分配的服务器信息正确有效。 如果您分配的服务器信息错误,请您及时取消申请;如果您的申请已经通 过院线审核,请您及时变更服务器信息。 ☆如何查看您的申请是否通过审核? 1) 点击“查看申请状态”→点击“影院信息变更申请”或“影院分配服务器申 请”→点击“未处理申请”,点击“展开搜索栏”可以搜索您的申请。如果 您的申请显示在该页面内,表明院线还未处理您的申请;如果您的申请未显 示在该页面内,表明您的申请已经进入审核流程,请您点击“所有申请”查 看您的申请状态(点击“展开搜索栏”,可以搜索您的申请)。 【注】:系统根据信息的不同状态为其设定不同的背景颜色以示区分: ☆影院及影厅信息:白色为未修改的信息,黄色为已修改的信息、绿色为新增 的信息。 ☆服务器信息:白色为分配状态未改变的服务器,绿色为新分配的服务器、红 色为取消分配的服务器。 2) 点击“账户信息”→点击“站内信”,也可查看院线和电影局的审核结果。 3) 如果院线和电影局已经审核通过您的关于影院及影厅信息的申请,点击“查 看影院信息”→点击“影厅信息”,即可查看影厅信息;如果院线已经审核 通过您的分配服务器的申请,点击“服务器信息”,即可查看已分配的服务 器信息;点击“投影机信息”,即可查看已分配的投影机信息。 至此,如果您填写的各项信息均准确无误,您将可以顺利获取影片密钥。 此外,考虑到您可能需要变更影院、影厅或服务器、投影机的信息,我们为您 提供了如下功能: 1. 如果您的影厅需要变更服务器信息,请您先取消原先已分配的服务器,以便 该服务器可被其它影厅再次分配,之后您可以为该影厅重新分配新的服务器。 【操作说明】:点击“申请变更信息”→点击“分配服务器”,点击预计取消分 配的服务器信息后面的“解除”,即可申请取消分配该服务器。之后您可以对该 影厅重新分配新的服务器,完成变更服务器的申请。此时您需要等待院线审核 您的申请。 2. 如果您的影厅需要变更投影机信息,请您先取消原先已分配的投影机,以便 该投影机可被其它影厅再次分配,之后您可以为该影厅重新分配新的投影机。 【操作说明】:点击“申请变更信息”→点击“分配服务器”,点击预计取消分 配的投影机信息后面的“解除”,即可申请取消分配该投影机。之后您可以对该 影厅重新分配新的投影机,完成变更投影机的申请。此时您需要等待院线审核 您的申请。 3. 更改影院或影厅信息。 【操作说明】:点击“申请变更信息”→点击“更改影院信息”,修改影院或影 厅的信息,点击“提交更改”,即可申请更改影院或影厅信息。 【注】:如果您的影院变更了所属院线,请您在“影院所属院线”项中选择“脱 离所属院线”。此时您无法修改影院或影厅的其它信息。 至此,我们已经将信息录入功能介绍完毕。此外,如果您的影院需要建立 多个账户供不同的工作人员使用,您可以通过“子用户管理”功能实现这一目 的。 【操作说明】:点击“账户信息”→点击“子用户管理”,点击“新增子用户”, 输入子用户的用户名、密码,点击“下一步”,为子用户分配权限,点击“提交 新增”,即可成功建立子用户。 对于您建立的子用户,您还可以根据情况暂停或重新启用该用户,以及重 新为各个子用户分配权限的功能。 【操作说明】: 1) 点击“账户信息”→点击“子用户管理”,点选预计暂停的子用户“序号” 前面的圆圈,点击“暂停选中用户”,即可暂停子用户的使用权限。 2) 点击“账户信息”→点击“子用户管理”,点选预计重新启用的子用户“序 号”前面的圆圈,点击“启用选中用户”,即可重新启用子用户的使用权限。 3) 点击“账户信息”→点击“子用户管理”,点选预计重新分配权限的子用户 “序号”前面的圆圈,点击“重新分配权限”,为子用户重新分配权限,点 击“提交”,即可为子用户重新分配使用权限。 如果您想退出本系统,请点击“退出”,系统将自动返回登陆界面。
10. 数字证书的应用过程
数字证书基本概念
(1)什么是证书?
在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份(每份证书都是经“相对权威的机构”签名的),另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公钥,密钥加密证书携带的是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。
(2)什么是CA?
CA是Certificate Authority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。
(3)什么是SSL?
安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性,主要采用公开密钥体制和X.509数字证书技术来提供安全性保证。对于电子商务应用来说, SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。
(4)什么是RA?
RA即证书发放审核部门,它是CA系统的一个功能组件。它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。
(5)什么是CP?
CP即证书发放的操作部门,它是CA系统的一个功能组件,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
(6)什么是CRL?
CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
(7)什么是OCSP?
OCSP即在线证书状态查询(Online Certificate Status Protocol),使用户可以实时查询证书的作废状态。
(8)什么是密钥对,怎样使用它,怎样获得密钥对?
像有的加密技术中采用相同的密钥加密、解密数据,公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。
公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。
相反地,用户也能用自己私人密钥对数据加以处理。换句话说,密钥对的工作是可以任选方向的。这提供了"数字签名"的基础,如果要一个用户用自己的私人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名----一种别人无法产生的文件。
数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。
大多数情况下,当你申请数字证书时,会为你产生密钥对。出于安全性考虑,密钥对应当在您的机器产生并且私人密钥不会在网上传输。
一旦产生,就应在认证中心上登记自己的公共密钥,随后认证中心将发送给用户数字证书,以证实你的公共密钥及其他一些信息。
(9)如何确保得到我的私钥的安全?
有以下三种保护方法:
将私人密钥存放在自己计算机的硬盘上,这样你能控制对它的存取。
将私人密钥存放在IC卡上,并将IC卡存放在自己可以控制的地方。
当你产生自己的私人密钥时,你所使用的软件(如浏览器)将要求你输入一个密码,这一密码将保护对私人密钥的存取。对于微软Internet Explorer用户,私人密钥将由Windows密码加以保护。 只有在下述两种情况下,第三方可以存取您的私人密钥:
有权存取你存放密钥的文件(常常是你的系统配置文件)。
知道你的私人密码。有的软件允许你选择不使用密码来保护你的私人密钥。如果你选择了这项,你必须已确信,无论现在还是将来,都不会有人非法访问你的计算机。
总而言之,使用密码要比完全以物理角度保护你的计算机方便得多。不选用密码,就像在自己的支票夹上预先签好了所有支票,并将它打开着放在办公桌上。
二:数字证书的一些问题:
1. 我的私钥怎样保存?
私钥可以通过两种方式保存:
以文件的形式保存在你的计算机硬盘中,这样你可以很容易控制对它的访问。
产生私钥时,使用的软件(例如浏览器)可能会要求你提供一个密码,通过这个密码来保护私钥免被非法使用。对于Microsoft IE用户, 私钥可以由Windows的密码保护。
第三方只可以在下列情况下访问你的私钥:1、能够访问用于存储密钥的文件(该文件往往是你的计算机系统配置文件的一部分);2、知道保护私钥的密码。某些软件允许你选择不使用密码来保护你的私钥,如果选择了该选项,你必须确信现在或者将来不会有人在非授权的情况下使用你的计算机
一般来说,可以很简单的使用密码将你的计算机完全的保护起来。不使用密码就象填好支票后将支票本放在桌上一样不安全。
2. 我该怎样保存我的私钥?
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施(例如系统密码)。采取措施来防病毒,因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
3. 什么是好的密码?
一个好的密码要足够的长和足够的特别,通过彻底搜寻(例如使用目录)也不能被查到,好的密码应该是你很容易就能记住而别人很难猜到的密码;最好使用八位以上的密码,不要使用容易与你某些事情联系起来的密码,比如你的电话号码、生日或是你家庭成员的名字。不要使用英文单词、常见的术语或是你以前用过的密码;如果将密码写下来了,不要放到容易找到的地方。
4. 我的计算机将我的密码保存在哪儿?
你的私钥一般以加密的形式保存在参数选择或配置文件里,只能用你的私钥保护密码才能打开。
5. 我需要在家里和办公室都使用我的数字证书,我可以安全的在计算机之间移动我的私钥和数字证书吗?
在计算机之间移动密钥和数字证书是可能的,只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时,使用安全的密码来保护你的密钥是非常重要的。
6. 我在没有获得一个新证书的情况下可以更改我保护私钥的密码吗?
可以。你的密码加密了你的证书私钥。可以用产生这个密码的程序更改密码(重新加密你的私钥)。如果你认为其它人有可能知道你的密码时,你应该立刻更改密码。
7. 我忘了我的私钥密码,有人能帮我更换掉它吗?
不能。如果你忘了你的私钥密码,没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效,除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥(该方式一般在支持双密钥对体系中)。有些情况下,你还需要重新安装你的电子邮件程序和网络浏览器。
8. 在我忘了我的密码时没有人能帮助我,这听起来非常不友好,为什么?
这是介于安全和便利之间的矛盾。如果有方法让其他人能为你恢复私钥密码,那他或者她也能盗用密码以达到其不可告人的目的。证书仍然是新的,但证书私钥可能已经被外泄,也就是说,该证书持有者进行的交易已经不具备不可否认性。将来可能可以将你的私钥不加密地保存在一张软盘上(不需要密码),而软盘被放在安全的地方,比如保管箱。微软和网景都是在这样的系统上运作的。如果你忘了正常加密的密码,可以用这张软盘来恢复你的证书的私钥。
9. 有人偷了我的计算机,他们现在拥有我的证书的私钥吗?
如果你使用了一个好的密码来保护你的私钥,那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系,要求废除你的证书,然后给你发放一个新的证书(有新的密钥对)。
10. 有人偷了我的计算机,而我已经选择不要密码保护我的私钥,我现在该怎么办?
你应该立即通知你的CA你的私钥受到安全威胁,它会安排撤销你的证书并给你颁发新的证书。注意:虽然关系伙伴一般都会检查证书的撤销状态,但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
CA认证功能介绍
概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心为了实现其功能,主要由以下三部分组成:
(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。 (2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。 (3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
CA认证简介
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心(CA),是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的格式一般采用X.509国际标准。