說說證書——證書構(gòu)成和常見三要素

        證書通常是一個幾K的小文件，使用二進(jìn)制或者一定編碼的文本（例如Base64）等保存有關(guān)公私鑰和相應(yīng)的信息。

        那么證書里面包含哪些信息呢？

        簡單來說有這些信息：

?Version number

證書版本

?Serial number

證書序列號

?Signature algorithm ID

簽名方式ID

?Issuer name

簽發(fā)者

?Validity period

有效期.

?Subject name

主題名，通常是人、組織或者Web/應(yīng)用服務(wù)器等.

?Subject public key information

主題公鑰信息.

?Issuer unique identifier

簽發(fā)者唯一標(biāo)識.

?Subject unique identifier

主題唯一表示.

?Extensions

擴(kuò)展，用于存儲額外信息，例如密鑰用法、別名等等.

?Signed hash of the certificate data

證書數(shù)據(jù)哈希HASH簽名，使用簽發(fā)這私鑰進(jìn)行加密，可作為數(shù)字簽名.

當(dāng)然，最關(guān)鍵的是證書的三要素：

1、信任的頒發(fā)者

2、有效期

3、名稱一致

否則，證書使用是就會遇到問題：

         為了避免這種問題，一般有兩種方式獲取證書：

         1、使用第三方證書。

         所謂第三方證書，就是專門提供證書服務(wù)的機(jī)構(gòu)，按年收取證書費(fèi)用，為用戶提供證書。由于這些機(jī)構(gòu)的根CA往往隨設(shè)備或者設(shè)備上的操作系統(tǒng)提供，因此用戶無需手動去配置系統(tǒng)信任他們頒發(fā)的證書。

         對最終用戶，尤其是使用移動設(shè)備不方便導(dǎo)入證書的最終用戶而言很方便，缺點(diǎn)是有每年的費(fèi)用。

         2、使用自建CA頒發(fā)證書。

         有很多免費(fèi)的CA系統(tǒng)可以使用，例如Windows Server自帶的AD CS （AD證書服務(wù)）?？梢允褂肁D或者手動導(dǎo)入CA的證書，作為受信任的證書頒發(fā)機(jī)構(gòu)，由此解決驗證機(jī)構(gòu)不受信任的問題。

        對最終用戶而言，可能需要導(dǎo)入CA證書，存在一定技術(shù)難度。好處是不需要付出證書費(fèi)用。