文章发表于:2020年01月09日 16:00:26

申请一个受信任的天威诚信CA数字证书通常有如下流程

    (1)天威诚信公司(实体)的服务器生成公钥和私钥,以及CA数字证书请求。
    (2)RA(证书注册及审核机构)检查实体的合法性(在注册系统里面是否注册过的正规公司)。
    (3)CA(证书签发机构)签发证书,发送给申请者实体。
    (4)证书更新到repository(负责数字证书及CRL内容存储和分发),实体终端后续从repository更新证书,查询证书状态等。
北京数字证书认证中心申请者拿到CA的证书并部署在网站服务器端,那浏览器发起握手并接收到证书后,如何确认这个证书就是CA签发的呢?怎样避免第三方伪造这个证书?答案就是数字签名(digital signature)。数字签名是证书的防伪标签,目前使用最广泛的SHA-RSA(SHA用于哈希算法,RSA用于非对称加密算法)。数字签名的制作和验证过程如下:
    1、数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希,生成消息摘要,然后使用CA自己的私钥对消息摘要进行加密。
    2、数字签名的校验。使用CA的公钥解密签名,然后使用相同的签名函数对签名证书内容进行签名,并和服务端数字签名里的签名内容进行比较,如果相同就认为校验成功。