ca數字證書申請流程（數字證書的用途是什麼）

在網際網路安全通訊方式上，目前用的最多的就是https配合ssl和數字證書來保證傳輸和認證安全了，而數字證書在ssl傳輸過程中扮演著身份認證和金鑰分發的功能。那麼究竟什麼是數字證書呢？

什麼是數字證書？

簡而言之數字證書是一種網路上證明持有者身份的檔案，同時還包含有公鑰。一方面，既然是檔案那麼就有可能“偽造”，因此，證書的真偽就需要一個驗證方式；另一方面，驗證方需要認同這種驗證方式。

數字證書可以由國際上公認的證書機構頒發，這些機構是公認的信任機構，一些驗證證書的客戶端應用程式：比如瀏覽器，郵件客戶端等，對於這些機構頒發的證書完全信任。當然想要請這些機構頒發證書可是要付“到了斯”的，通常在windows部署系統的時候會讓客戶端安裝我們自己伺服器的根證書，這樣客戶端同樣可以信任我們的證書。而客戶端程式通常通過維護一個“根受信任機構列表”，當收到一個證書時，檢視這個證書是否是該列表中的機構頒發的，如果是則這個證書是可信任的，否則就不信任。

數字證書的信任問題？

作為一個https的站點需要與一個數字證書繫結，無論如何，數字證書總是需要一個機構頒發的，這個機構可以是國際公認的證書機構，也可以是任何一臺安裝有證書服務的計算機。客戶端是否能夠信任這個站點的證書，首先取決於客戶端程式是否匯入了證書頒發者的根證書

有時一個證書機構可能授權另一個證書機構頒發證書，這樣就出現了證書鏈。IE瀏覽器在驗證證書的時候主要從下面三個方面考察，只要有任何一個不滿足都將給出警告

證書的頒發者是否在“根受信任的證書頒發機構列表”中

證書是否過期？

證書的持有者是否和訪問的網站一致，另外，瀏覽器還會定期檢視證書頒發者公佈的“證書吊銷列表”，如果某個證書雖然符合上述條件，但是被它的頒發者在“證書吊銷列表”中列出，那麼也將給出警告。每個證書的CRL Distribution Point欄位顯示了檢視這個列表的url。儘管如此，windows對於這個列表是“不敏感”的，也就是說windows的api會快取這個列表，直到設定的快取過期才會再從CRL Distribution Point中下載新的列表。目前，只能通過在證書頒發服務端儘量小的設定這個有效期（最小1天），來儘量使windows的客戶端“敏感”些。

以上就是數字證書原理相關內容相關資訊，更多請關注上海CA中心其它相關文章！上海CA中心成立於1998年,是中央密碼工作領導小組批准的唯一試點,為政府、企事業單位、個人等提供合法合規的第三方電子認證、數字身份相關產品和整合實施服務！