摘自《百度百科——密钥密码体系》

http://baike.baidu.com/item/%E5%AF%86%E9%92%A5%E5%AF%86%E7%A0%81%E4%BD%93%E7%B3%BB?fromtitle=%E5%AF%86%E9%92%A5%E4%BD%93%E7%B3%BB&type=syn

CA(Certificate Authority) 电子签证机关(即CA)。CA也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA,任何人都应该可以得到CA的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。
如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证(如前所述,CA签字实际上是经过CA私钥加密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一旦验证通过,该证书就被认为是有效的。
CA除了签发证书之外,它的另一个重要作用是证书和密钥的管理。
由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。CA相当于网上公安局,专门发放、验证身份证。

摘自《百度百科——CA》

http://baike.baidu.com/link?url=90UUbTOSiu4v4IsJXYwxjQ1At69gtNXCptNQANPYyTmFXFN8H5R3C2wl43XULH99Cqz7mQCI6kkGrVB1EaGq_a

CA(证书管理机构)是PKI(Public Key Infrastructure,公钥基础设施)系统中通信双方都信任的实体,被称为可信第三方(Trusted Third Party,简称TTP)。CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。作为第三方而不是简单的上级,就必须能让信任者有追究自己责任的能力。CA通过证书证实他人的公钥信息,证书上有CA的签名。用户如果因为信任证书而导致了损失,证书可以作为有效的证据用于追究CA的法律责任。正是因为CA愿意给出承担责任的承诺,所以也被称为可信第三方。在很多情况下,CA与用户是相互独立的实体,CA作为服务提供方,有可能因为服务质量问题(例如,发布的公钥数据有错误)而给用户带来损失。证书中绑定了公钥数据、和相应私钥拥有者的身份信息,并带有CA的数字签名。证书中也包含了CA的名称(图中为LOIS CA),以便于依赖方找到CA的公钥、验证证书上的数字签名。如图 1所示。
1 CA签发证书

验证证书的时候,需要得到CA的公钥。用户的公钥可以通过证书来证明,那CA的公钥如何获得呢?可以再让另一个CA来发证书,但最终总有一个CA的公钥的获得过程缺乏证明。PKI技术并不把这样一个循环问题留给自己,而是依赖其它的安全信道来解决。因为CA毕竟不多,可以通过广播、电视或报纸等公开的权威的媒介,甚至通过发布红头文件的方式来公告CA的公钥。

公告CA的公钥可以有多种形式,为了兼容程序的处理,人们一般也以证书的形式发布CA的公钥。CA给自己签发一张证书,证明自己拥有这个公钥,这就是自签名证书(Self-Signed Certificate)。如图2所示:
2 CA自签名证书
与末端实体的证书不一样,在尚未确定CA公钥时,CA自签名证书其实不是真正的数字证书,而仅仅是拥有证书形式的一个公钥。所以CA自签名证书必须从可信的途径获取。例如,任何人都可以产生一对公私密钥对,并声称自己就是LOIS CA,然后签发一张自签名证书、并通过网络随意传播。CA自签名证书可以通过权威媒体或面对面USB硬盘等进行传输。
用户拥有CA自签名证书之后,就可以离线地验证所有其它末端用户证书的有效性,获得其它实体的公钥、进行安全通信。
CA是负责确定公钥归属的组件,所以CA必须得到大家的信任才能充当这样的角色,其确定公钥归属的技术手段也必须是可靠的。CA通过证书方式为用户提供公钥的拥有证明,而这样的证明可以被用户接受。
在用户验证公钥归属的过程中,有数据起源鉴别、数据完整性和非否认性的安全要求。CA对某公钥拥有人的公钥证明必须实现这些安全要求才能够为公钥的用户所接受。首先,不论用户获得通信对方公钥的途径是什么,他必须确定信息最初始的来源是可信的CA、而不是其它的攻击者。其次,我们要保证在获得信息的过程中,信息没有被篡改、是完整的。最后,公钥的拥有证明是不可否认的,即通过证书验证都能够确保CA不能否认它提供了这样的公钥拥有证明。在PKI中,CA也具有自己的公私密钥对,对每一个“公钥证明的数据结构”进行数字签名,实现公钥获得的数据起源鉴别、数据完整性和非否认性。用于公钥证明的数据结构,就是数字证书。
CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体("证书申请者"拥有了证书后即成为"证书主体")与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份,保证电子商务的安全进行。
解 释: 受委托发放数字证书的第三方组织或公司。数字证书是用来建立数字签名和公-私(public-private)密钥对的。CA在这个过程中所起的作用就是保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中,CA是一个非常重要的组成部分,因为它们确保信息交换各方的身份。
CA的层级结构:
CA建立自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。
CA提供的服务:
颁发证书、废除证书、更新证书、验证证书、管理密钥。
CA大概分以下几种:
1、行业性CA
金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、
中国海关CA、中国银行CA、中国工商银行CA、中国建设
银行CA、招商银行CA、国家计委电子政务CA、南海自然
人CA(NPCA)
2、区域性CA
协卡认证体系(上海CA、北京CA、天津CA)
网证通体系(广东CA、海南CA、湖北CA、重庆CA)
3、独立的CA认证中心
– 山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙
江邮政CA、黑龙江政府CA、山东CA、深圳CA 、吉林省政
府CA、福建泉州市商业银行网上银行CA、天威诚信CA

证书管理机构——CA(Certificate Authority)相关推荐

  1. 证书管理机构——CA

    CA是PKI系统中通信双方都信任的实体,被称为可信第三方(Trusted Third Party,简称TTP).CA作为可信第三方的重要条件之一就是CA的行为具有非否认性.作为第三方而不是简单的上级, ...

  2. CA—Certificate Authority证书授权中心

    首先CA是Certificate Authority的缩写,也叫"证书授权中心". 它是负责管理和签发证书的第三方机构,就好比例子里面的中介--C 公司.一般来说,CA必须是所有行 ...

  3. 证书颁发机构(CA, Certificate Authority)

    CA保证浏览器所连接的网站是真正的需要连接的网站,防钓鱼网站. 1)服务器把自己的公钥密钥提交给CA加密,然后CA使用自己的密钥私钥进行加密(服务器公钥+服务器域名信息+公钥摘要),然后将其提供给浏览 ...

  4. CA认证(Certificate Authority)

    什么是CA认证? CA认证,即电子认证服务是指为电子签名相关各方提供真实性.可靠性验证的活动.证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构.是负责发放和管理数 ...

  5. CA机构介绍(Certificate Authority 域名SSL证书颁发机构)

    SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构. HTT ...

  6. 使用CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件

    要安装kubernetes最新版集群,https://github.com/opsnull/follow-me-install-kubernetes-cluster 这个文档必须要研习一下了. 以下实 ...

  7. 用XCA(X Certificate and key management)可视化程序管理SSL 证书(3)--创建自己定义的凭证管理中心(Certificate Authority)...

    在第"用XCA(X Certificate and key management)可视化程序管理SSL 证书(2)---创建证书请求"章节中,我们介绍了怎样用XCA创建SSL证书请 ...

  8. 用XCA(X Certificate and key management)可视化程序管理SSL 证书(3)--创建自定义的凭证管理中心(Certificate Authority)

    在第"用XCA(X Certificate and key management)可视化程序管理SSL 证书(2)---创建证书请求"章节中,我们介绍了如何用XCA创建SSL证书请 ...

  9. 22.加密与安全相关,证书申请CA(gpg,openssl)

    安全机制 信息安全防护的目标 保密性 Confidentiality 完整性 Integrity 可用性 Usability 可控制性 Controlability 不可否认性 Non-repudia ...

最新文章

  1. [Quick-x]制作新手引导高亮区域方法之二:裁剪模式
  2. 北师大历史系65 级同学聚会宁夏【之七】——在中阿之轴、西夏王陵、董府、板桥道堂、鸿乐府及告别宴会...
  3. 详解目标检测之Neck选择
  4. AndoridSQLite数据库开发基础教程(8)
  5. 算法竞赛入门第二版解题报告
  6. 论手残党画交互原型的正确姿势
  7. MeeGo 1.2发布
  8. C++实现树的基本操作,界面友好,操作方便,运行流畅,运用模板
  9. linux unix域socket_python3从零学习-5.8.1、socket—底层网络接口
  10. Opencv打印显示Mat方法
  11. [Ajax] Ajax的基本用法
  12. mysql 长轮询_基于HTTP长轮询实现简单推送
  13. 20145316许心远《网络攻防》第三次实验:免杀原理与实践
  14. 微信小程序登陆界面(效果图+源代码)
  15. Basic Blocks
  16. 怎么设置计算机显示列表格式,(怎样显示excel的文件后缀名)excle后缀格式怎么显示...
  17. 漫谈运维:半神半仙亦民工
  18. swiper轮播-可支持触摸滑动(整理)
  19. 全志A33uboot设置读秒延时启动Linux,build.sh初步了解
  20. matlab绘制蜗牛圈圈图,Illustrator软件绘制七彩卡通蜗牛图片

热门文章

  1. 51自学网php视频教程全集,51自学网免费PhotoShop视频教程全集
  2. CAN通讯协议层--秉火STM32学习笔记
  3. 谷歌浏览器驱动国内镜像下载地址
  4. 新建HttpServletRequest对象
  5. 1.莫尔斯编码和布莱叶盲文
  6. 1118 - Row size too large (> 8126). Changing some columns to TEXT or BLOB or using ROW_FORMAT=DYNAMI
  7. Kali之——使用Easy-Creds工具攻击无线网络
  8. r语言 读服务器数据,R语言数据实战 | 安装R语言
  9. Python入门后,想要从事自由职业可以做哪方面工作?
  10. gem5 GPGPU-Sim 安装踩坑笔记