什么是數(shù)字簽名證書？證書如何生成？

在這個(gè)網(wǎng)絡(luò)信息時(shí)代，各類信息滿天飛，信息安全的重要性和必要性成為了人們關(guān)注的要點(diǎn)。信息安全有三個(gè)問題待解決：一是信息的保密性，即指信息在傳輸過程中不被泄密；二是信息的完整性，信息在傳輸過程中不被篡改；三是信息的有效性，即信息的使用者合法。這三個(gè)要素又被稱為CIA Triad。

在日常生活中，個(gè)人簽名，手寫簽名用的很多，即類似于個(gè)人的一個(gè)身份信息確認(rèn)。計(jì)算機(jī)中，數(shù)字簽名也是相同的含義：證明消息是某個(gè)特定的人，而不是隨隨便便一個(gè)人發(fā)送的（有效性）；除此之外，數(shù)字簽名還能證明消息沒有被篡改（完整性）。

其實(shí)簡(jiǎn)單的說，數(shù)字簽名（digital signature）是公鑰密碼的逆應(yīng)用：用私鑰加密消息，用公鑰解密消息。

什么是數(shù)字簽名證書？

數(shù)字簽名證書實(shí)際上就是對(duì)公鑰進(jìn)行數(shù)字簽名，它是對(duì)公鑰合法性提供證明的技術(shù)。 

考慮這樣一種場(chǎng)景：我們對(duì)簽名進(jìn)行驗(yàn)證時(shí)，需要用到公鑰。如果公鑰也是偽造的，那怎么辦？如果公鑰是假的，驗(yàn)證數(shù)字簽名那就無從談起，根本不可能從數(shù)字簽名確定對(duì)方的合法性。

這時(shí)候數(shù)字簽名證書就派上用場(chǎng)了。證書一般包含：公鑰（記住證書中是帶有公鑰的），公鑰的數(shù)字簽名，公鑰擁有者的信息。若數(shù)字簽名證書驗(yàn)證成功，這表示該公鑰是合法，可信的。 

接下來又有問題了：驗(yàn)證證書中的數(shù)字簽名需要另一個(gè)公鑰，那么這個(gè)公鑰的合法性又該如何保證？該問題可以無限循環(huán)下去，豈不是到不了頭了？這已經(jīng)是個(gè)社會(huì)學(xué)問題了。我們?yōu)槭裁窗彦X存進(jìn)銀行？因?yàn)槲覀兿嘈陪y行，它是一個(gè)可信的機(jī)構(gòu)（雖然也有破產(chǎn)的風(fēng)險(xiǎn)）。跟銀行一樣，我們需要一個(gè)可信的機(jī)構(gòu)來頒發(fā)證書和提供公鑰，只要是它提供的公鑰，我們就相信是合法的。

這種機(jī)構(gòu)稱為認(rèn)證機(jī)構(gòu)(Certification Authority， CA)。CA就是能夠認(rèn)定”公鑰確實(shí)屬于此人”，并能生成公鑰的數(shù)字簽名的組織或機(jī)構(gòu)。CA有國(guó)際性組織和政府設(shè)立的組織，也有通過提供認(rèn)證服務(wù)來盈利的組織。

如何生成數(shù)字簽名證書？

1.服務(wù)器將公鑰A給CA（公鑰是服務(wù)器的）

2.CA用自己的私鑰B給公鑰A加密，生成數(shù)字簽名A

3.CA把公鑰A，數(shù)字簽名A，附加一些服務(wù)器信息整合在一起，生成證書，發(fā)回給服務(wù)器。

注：私鑰B是用于加密公鑰A的，私鑰B和公鑰A并不是配對(duì)的。

如何驗(yàn)證數(shù)字簽名證書？

1. 客戶端得到證書

2. 客戶端得到證書的公鑰B（通過CA或其它途徑）

3. 客戶端用公鑰B對(duì)證書中的數(shù)字簽名解密，得到哈希值

4. 客戶端對(duì)公鑰進(jìn)行哈希值計(jì)算

5. 兩個(gè)哈希值對(duì)比，如果相同，則證書合法。

注：公鑰B和上述的私鑰B是配對(duì)的，分別用于對(duì)證書的驗(yàn)證（解密）和生成（加密）。