公钥证书

什么是公钥证书？

用于验证发件人身份和授权的数字签名文档称为公钥证书。它使用加密框架将公钥与实体（如个人或组织）关联起来。在线文档由认证机构（一个可信的外部实体）创建和分发。

数字证书，也称为公钥证书，包含公钥、所有者的身份详细信息以及证书颁发机构 (CA) 的名称。数字证书由 CA（一个信誉良好的第三方）颁发，以确认在线数据传输中参与者的身份。CA 通过验证请求证书的个人的身份来提供这种保证。数字证书提供了对个人身份的保证。

公钥证书如何工作？

公钥基础设施 (PKI) 系统旨在保护数据和通信，并将公钥证书作为重要组成部分。这些证书使用一对加密密钥：公钥和私钥。私钥仅由证书持有者知晓，并安全地隐藏起来，

而公钥则公开可用于验证目的。这种非对称加密机制使证书持有者能够对电子邮件、文档和其他记录进行数字签名，从而在不担心被冒充的情况下保证其身份。PKI 的关键要素包括公钥加密、可信第三方（如证书颁发机构 (CA)）、注册机构以及安全证书数据库或存储库的参与。

公钥证书有多种形式，用于各种目的，例如授权执行某种类型的活动。数字证书的常见字段包括以下内容

• 序列号：此编号可用于区分证书与其他证书。
• 算法数据：颁发者使用此算法为证书签名。
• 颁发者：证书颁发机构 (CA) 的名称标识了颁发证书的 CA。
• 证书有效期：证书的有效期由这些开始和结束日期决定。
• 主题的专有名称：此名称标识了向其颁发证书的个人。
• 主题的公共关键数据。这是与个人身份相关联的公钥。

有哪些类型的证书？

TLS/SSL 证书是安全套接字层/传输层安全 (TLS/SSL) 的组成部分，构成了传输层安全 (TLS) 协议的基础，TLS 是 SSL 的高级版本。这些数字证书包含数字签名，以确保在线传输数据的真实性和完整性。此外，它们还包含一个用于验证服务器身份的公共加密密钥。通过促进安全连接，这些证书简化了 Web 服务器和浏览器之间的加密密钥交换。

Web 浏览器必须经过一系列称为“信任链”、“信任路径”或“信任链”的证书验证，才能确认网站是合法且安全的。信任链通常由根证书、中间证书和叶子证书组成。

存在不同类型的 TLS/SSL 证书，如下所示

• 域名验证 (DV) 证书：这些证书通常是最基本、最便宜的类型，Web 浏览器愿意信任。在颁发 DV 证书之前，颁发 CA 必须验证组织的域名。网站所有者无需提供身份证明即可获得这些证书，这些证书可能在几分钟内颁发。浏览器识别 DV 证书后，就会信任域名所有者是证书的合法拥有者，并认为该证书专属于该域名。
• 组织验证 (OV) 证书：组织可以通过获得 OV 证书来通过官方认证程序进行质量保证验证。组织验证首先需要验证根证书颁发机构的合法性，然后验证申请证书的公司或组织的合法性。
• 个人验证 (IV) 证书：由于它们是个人证书而非公司证书，因此它们是客户的热门选择，尤其是在电子邮件安全方面。
• 扩展验证 (EV) 证书：经过严格的审查程序后，这些证书由 CA 与其信誉合作伙伴一起颁发。根据 CA/浏览器论坛制定的 EV 标准，申请人不仅必须满足验证标准，还必须提供身份证明文件，并且组织必须成功完成独立审计。这些元素的总和增加了对网站所有者身份的额外信任度。提供 EV 证书的公司还必须成功完成独立审计。
• 客户端证书用于验证希望连接到 TLS 服务的个人的身份，而不是设备寻求连接，尽管它们不如服务器证书普及。
• 电子邮件证书：电子邮件加密使用安全/多用途 Internet 邮件扩展 (S/MIME) 标准来实现。它由 RSA 安全公司开发，旨在解决发送加密电子邮件而无需共享公钥的问题。它通常在拥有自己 CA 的组织内部使用。
• EMV 认证：EMV 支付卡在集成芯片上存储卡发行商证书。该微芯片使卡片能够为每次交易生成唯一的代码，从而提高安全性。负责 EMV 标准的认证机构是 EMVCo，这是一个由 Europay、Mastercard 和 Visa 等主要支付网络组成的联盟，通常缩写为 EMV。
• 代码签名证书：在软件开发和 IT 管理中，代码签名证书用于对应用程序或设备的操作系统或软件进行数字认证。这让接收者对代码的作者和完整性有信心。
• 根证书：用于签名额外数字证书的真实性证书称为根证书。由于它位于用于验证其他数字证书的数字证书层次结构的最高级别，因此通常被称为信任锚。根证书是证书的最高级别，层次结构从这里开始。二级证书验证根证书，三级证书验证二级证书，依此类推。
• 中间级别证书：中间证书充当根 CA 和下级 CA 之间的桥梁，并用于签名其他证书。供本地服务器或网站使用的最终用户证书由中间证书签名。中间证书的身份由根证书确认，然后根证书验证客户证书。
• 叶子证书：最终实体，也称为叶子证书，作为数据加密和签名端点，并且与其他证书签名系统不兼容。这些包括电子邮件、代码签名证书和 TLS/SSL。
• 自签名证书：由颁发它的组织签名的证书称为自签名证书。大多数证书都是自签名的，并使用自己的公钥进行验证。由于它们不是由 CA 认证，因此可能被认为不太可靠。

公钥证书的优点和缺点

使用公钥证书的主要好处是能够进行安全身份验证。CA 保证了公钥证书的完整性。此外，这种类型的证书还可以避免中间人攻击——当恶意第三方窃听两个实体之间的通信并在它们之间传输消息时发生这种情况。最后，许多企业网络和应用程序都提供公钥证书，并且该过程快速简便。

公钥证书的主要缺点是无法管理用于加密的密钥。这意味着即使密钥受到损害，也无法吊销证书。通过入侵服务器并窃取证书（其中包含公钥）就可以解锁使用公钥加密的任何内容。可以安装假的根证书，并且在 Web 证书更新时，浏览器不会通知用户。

数字证书与数字签名

数字证书和数字签名之间存在区别。公钥证书，通常称为数字证书，用作公钥与颁发者相关联的证据。相反，数字签名验证通信、程序或数字文档的真实性。

数字证书包含公钥、所有者信息、到期日期以及颁发者的数字签名。这些证书由信誉良好的组织颁发，称为证书颁发机构，例如 DigiCert 或 GlobalSign。