數(shù)字簽名證書是什么？如何生成？

在網(wǎng)絡(luò)信息時代，人們越來越關(guān)注信息安全問題。如何保障信息在傳輸過程中不被泄密？如何保障信息在傳輸過程中不被篡改？如何驗(yàn)證信息的使用者合法？毫無疑問，這三個問題的解決都需要通過技術(shù)手段來實(shí)現(xiàn)。今天我們要了解的就是其中一種——數(shù)字簽名證書。

數(shù)字簽名證書同手寫簽名有類似的功能，它們都是對個人身份信息的確認(rèn)。但是，在互聯(lián)網(wǎng)世界，數(shù)字簽名還能確保信息的完整性，證明消息沒有被篡改。

數(shù)字簽名證書是什么？

數(shù)字簽名證書是對公鑰進(jìn)行數(shù)字簽名，對公鑰合法性提供證明的技術(shù)。簡單來說，數(shù)字簽名（digital signature）是公鑰密碼的逆應(yīng)用：用私鑰加密消息，用公鑰解密消息。

數(shù)字簽名證書如何發(fā)揮作用？我們通過以下場景來理解：

當(dāng)我們對簽名進(jìn)行驗(yàn)證時，需要用到公鑰。如果公鑰是假的，則驗(yàn)證無從談起。

數(shù)字簽名證書包含公鑰、公鑰的數(shù)字簽名、公鑰擁有者的信息。若數(shù)字簽名證書驗(yàn)證成功，則表示該公鑰是合法可信的。

那么下面又有另一個問題：驗(yàn)證證書中的數(shù)字簽名需要另一個公鑰，那這個公鑰的合法性又該如何保證？

這個時候就需要一個可信的機(jī)構(gòu)來頒發(fā)證書和提供公鑰，只要是它提供的公鑰，我們就相信是合法的。

這種機(jī)構(gòu)叫做認(rèn)證機(jī)構(gòu)(Certification Authority， CA)。CA分為國際性組織和政府設(shè)立的組織和通過提供認(rèn)證服務(wù)來盈利的組織。CA能夠生成公鑰并認(rèn)定“公鑰確實(shí)屬于此人”。

如何生成數(shù)字簽名證書？

1. 服務(wù)器將公鑰A給CA（公鑰是服務(wù)器的）

2. CA用自己的私鑰B給公鑰A加密，生成數(shù)字簽名A

3. CA把公鑰A，數(shù)字簽名A，附加一些服務(wù)器信息整合在一起，生成證書，發(fā)回給服務(wù)器。

注：私鑰B是用于加密公鑰A的，私鑰B和公鑰A并不是配對的。

如何驗(yàn)證數(shù)字簽名證書？

1. 客戶端得到證書

2. 客戶端得到證書的公鑰B（通過CA或其它途徑）

3. 客戶端用公鑰B對證書中的數(shù)字簽名解密，得到哈希值

4. 客戶端對公鑰進(jìn)行哈希值計(jì)算

5. 兩個哈希值對比，如果相同，則證書合法。

注：公鑰B和上述的私鑰B是配對的，分別用于對證書的驗(yàn)證（解密）和生成（加密）。