CA-Certificate Authority-证书授权;证书授证;认证中心;认证机构;身份认证机构

CA(Certificate Authority，证书授权)是由认证机构服务者签发，是数字签名的技术基础保障，也是网上实体身份的证明，能够证明某一实体的身份及其公钥的合法性，证明该实体与公钥二者之间的匹配关系。
证书是公钥的载体，证书上的公钥与实体身份相绑定。现，一个是签名证书行的PKI机制一般为双证书机制，即一个实体应具有两个证书、两个密钥对，其中一个是加密证书，一个是签名证书，而加密证书原则上是不能用于签名的。
在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心颁发并签名的。一个完整的、安全的电子商务系统必须建立一个完整的、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。

数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

在很多情况下，安装CA证书并不是必要的。大多数操作系统的CA证书是默认安装的。这些默认的CA证书由GoDaddy或VeriSign等知名的商业证书颁发机构颁发。因此，如果设备需要信任不知名的或本土的证书颁发机构，只需要安装CA证书。
下载和安装CA证书并没有真正的标准流程。采用的方法依赖于许多因素，如正在使用的服务器类型可作为一个证书颁发机构，证书颁发机构的配置方式以及设备上所使用的想安装CA证书的操作系统。
如果Windows服务器被配置为一台证书颁发机构，通常情况下，管理员可通过一个Web界面生成并下载证书。这个Web界面的地址通常是https://<the server's FQDN>/CertSRV。该Web界面中有下载CA证书的选项。
如果一台Windows PC上安装了CA证书，该证书是由证书控制台进行安装的。在Windows 8个人电脑上，可以通过本地的运行功能进入CertLM.msc，从而访问证书商店。CA证书通常安装在第三方根认证机构容器中的受信任的根证书颁发机构中。
通常，如果想在移动设备上安装一个CA证书，可以将证书通过电子邮件发送到该移动设备上的邮箱账号。打开附件，证书将被安装到该设备上。
当然，还有一些特殊的证书，例如：网上报税使用的联通CA证书，就需要你手动安装导入到你的报税系统中，它是无法自动安装导入的。

证书原理
数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。
在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。

证书作用
保密性 - 只有收件人才能阅读信息。
认证性 - 确认信息发送者的身份。
完整性 - 信息在传递过程中不会被篡改。
不可抵赖性 - 发送者不能否认已发送的信息。
保证请求者与服务者的数据交换的安全性。