数字证书(Digital Certificate)是网络通信中标志通信各方身份信息的一系列数据,它提供了一种在网络上验证实体身份的方式,其作用类似于日常生活中的驾驶执照或身份证。它是一个由权威机构--证书授权(Certificate Authority)中心,又称CA中心发行的,人们可以在交往中用它来识别对方的身份。
数字证书是由一个独立的且受信任的第三方(CA中心)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息。
个人(公司、机构)证书和网络服务器的证书使用基本相同的格式,但服务器证书的“Common Name”属性通常设置为域名模式,如web.pphpt.com,而个人(公司、机构)证书的该属性设置为其完整的名称。
数字证书的工作过程很容易理解:想发送加密消息的实体(个人、公司、机构或代表它们的网络服务器)向CA机构提交申请,CA就向其发放一个包含了申请者公开密钥和其他身份信息的加密了的数字证书。CA必须已经将自己的公开密钥向公众发布或可以从Internet上获取。加密消息的接收方使用CA的公开密钥来解开附接在消息上的数字证书,并验证证书确实是由CA发放的,然后获得证书中发送者的公开密钥和身份信息。有了这些信息,接收方可以发送加密的应答消息。图1是认证过程的示意图。
证书的格式通常遵循ITUT X.509国际标准,但并非一定如此。X.509实际上是一个ITU建议(recommendation),目前是第3版。因此,各家公司可以按不同的方式来实现这个标准。例如,Netscape和Microsoft都在它们的Web服务器和浏览器中使用X.509证书实现SSL(安全套接字层,Secure Sockets Layer),但Netscape生成的X.509证书不能被Microsoft的产品读取,反之亦然。一个标准的X.509数字证书包括的内容详见下表1。
那么,为什么要使用数字证书呢?由于Internet电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须相信在Internet上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而Internet电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、交易者身份的确定性、发送信息的不可否认性和交换数据的不可修改性。数字证书是SSL协议的一部分。
