第4章數(shù)字證書14.1數(shù)字證書簡介4.2數(shù)字證書的格式4.3公私密鑰對的管理4.4數(shù)字證書的申請與發(fā)放4.5數(shù)字證書的分發(fā)4.6數(shù)字證書的撤銷目錄2上海財經(jīng)大學勞幗齡引例——CFCA承諾：

數(shù)字證書被破解損失最高賠80萬

數(shù)字證書到底是什么,可以讓中國金融認證中心在網(wǎng)絡安全狀態(tài)不容樂觀的情況下作出如此承諾？中國金融認證中心又是什么機構呢？3上海財經(jīng)大學勞幗齡4.1數(shù)字證書簡介

數(shù)字證書，是一個由使用數(shù)字證書的用戶群所公認的和信任的權威機構（即CA）簽署了其數(shù)字簽名的信息集合。4上海財經(jīng)大學勞幗齡4.2數(shù)字證書的格式4.2.1基本數(shù)字證書格式4.2.2X.509版本3數(shù)字證書格式4.2.3數(shù)字證書擴展標準5上海財經(jīng)大學勞幗齡4.2.1基本數(shù)字證書格式X.509數(shù)字證書格式有三個不同版本內(nèi)容：4.2數(shù)字證書的格式6上海財經(jīng)大學勞幗齡4.2.2

X.509版本3數(shù)字證書格式4.2數(shù)字證書的格式7上海財經(jīng)大學勞幗齡4.2.3數(shù)字證書擴展標準密鑰信息擴展政策信息擴展主體及發(fā)放者屬性擴展認證路徑約束擴展與數(shù)字證書撤消表（CRLs）相關的擴展4.2數(shù)字證書的格式8上海財經(jīng)大學勞幗齡4.3數(shù)字證書中公私密鑰對的管理4.3.1密鑰對的生成4.3.2私鑰的保護4.3.3密鑰對的更新9上海財經(jīng)大學勞幗齡4.3.1密鑰對的生成兩種方法：由密鑰對持有者系統(tǒng)生成由密鑰管理中心系統(tǒng)生成4.3.2私鑰的保護保護方法：將私鑰存儲在不可寫的硬件模塊或標記中，如智能卡中將私鑰存儲在計算機硬盤或其他數(shù)據(jù)存儲媒介上的加密數(shù)據(jù)文件中將私鑰存儲在數(shù)字證書服務器上，當用戶通過了服務器的鑒定，并在服務器上使用了一段時間后，該服務器會將私鑰傳送給用戶4.3公私密鑰對的管理10上海財經(jīng)大學勞幗齡4.3.3密鑰對的更新與加密有關的密鑰對數(shù)字簽名密鑰對認證機構數(shù)字簽名密鑰對4.3公私密鑰對的管理11上海財經(jīng)大學勞幗齡4.4數(shù)字證書的申請與更新4.4.1數(shù)字證書管理機構作用4.4.2數(shù)字證書的申請注冊4.4.3數(shù)字證書的生成4.4.4數(shù)字證書的更新12上海財經(jīng)大學勞幗齡4.4.1數(shù)字證書管理機構的作用

注冊機構RA，本身并不發(fā)放數(shù)字證書，但RA可以確認、批準或拒絕數(shù)字證書申請人的申請，隨后由CA給經(jīng)過批準的申請人發(fā)放數(shù)字證書。RA功能：注冊、注銷、批準或拒絕對數(shù)字證書屬性的變更要求確認數(shù)字證書申請人的合法性批準生成密鑰對和數(shù)字證書的請求及恢復備份密鑰的請求批準撤銷或暫停數(shù)字證書的請求（需相應CA支持）向有權擁有身份標記的人當面分發(fā)標記或恢復舊標記4.4數(shù)字證書的申請與更新13上海財經(jīng)大學勞幗齡4.4.2數(shù)字證書的申請注冊身份確認方法：了解私有文件親自到場身份證明文件4.4.3數(shù)字證書的生成數(shù)字證書的生成步驟數(shù)字證書申請人將數(shù)字證書內(nèi)容信息提供給認證機構認證機構確認信息的正確性由CA給數(shù)字證書加上數(shù)字簽名將數(shù)字證書的一個副本傳送給用戶將數(shù)字證書的一個副本傳送到數(shù)字證書數(shù)據(jù)庫，以便公布數(shù)字證書的一個副本可以由CA或其他實體存檔CA將數(shù)字證書生成及發(fā)放過程中的細節(jié)記錄在審計日志中4.4數(shù)字證書的申請與更新14上海財經(jīng)大學勞幗齡4.4.4數(shù)字證書的更新

每份數(shù)字證書的生命周期都是有限的。在數(shù)字證書期滿后需要更換數(shù)字證書。另外，密鑰對也需要定期更換，而一旦更換了密鑰對，那就需要用新的數(shù)字證書。4.4數(shù)字證書的申請與更新15上海財經(jīng)大學勞幗齡4.5數(shù)字證書的分發(fā)4.5.1利用數(shù)字簽名分發(fā)數(shù)字證書4.5.2利用目錄服務分發(fā)數(shù)字證書16上海財經(jīng)大學勞幗齡4.6數(shù)字證書的撤銷4.6.1請求撤銷數(shù)字證書4.6.2數(shù)字證書撤銷表的格式4.6.3撤銷數(shù)字證書的方法4.6.4X.509標準的數(shù)字證書撤銷表17上海財經(jīng)大學勞幗齡4.6.1請求撤消數(shù)字證書4.6.2數(shù)字證書撤消表的格式4.6數(shù)字證書的撤銷18上海財經(jīng)大學勞幗齡4.6.3撤消數(shù)字證書的方法定期公布數(shù)字證書撤消表廣播數(shù)字證書撤消表進行在線狀態(tài)檢查發(fā)行短期數(shù)字證書其他撤消方法從數(shù)字證書數(shù)據(jù)庫中刪除數(shù)字證書可信的數(shù)字證書服務器或目錄間隔時間更短的周期性數(shù)字證書撤銷表建立數(shù)字證書撤銷樹4.6數(shù)字證書的撤銷19上海財經(jīng)大學勞幗齡4.6.4X.509標準的數(shù)字證書撤消表X.509數(shù)字證書撤消表格式4.6數(shù)字證書的撤銷20上海財經(jīng)大學勞幗齡4.6.4X.509標準的數(shù)字證