我们都知道，互联网是虚拟的，通过互联网我们无法正确获取对方真实省份。数字证书是网络世界中的身份证。数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。数字证书可以在网络世界中为互不见面的用户建立安全可靠的信任关系，这种信任关系的建立则源于 PKI/CA认证中心，构建安全的PKI/CA认证中心是至关重要的。

CA是Certificate Authority的缩写，也叫“证书授权中心”。CA是证书的签发机构，它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权，CA是可以信任的第三方。因为，如果PKI/CA认证中心安全性不够，非法用户可能入侵PKI/CA认证中心，扰乱认证中心正常运行；一些有别有用心的人可能利用认证中心潜在安全漏洞（政策、合同、服务等），对认证中心进行攻击，造成不可估量的社会影响。

全国各地成立了各省市自己的CA公司，为本地企业提供商用数字证书。

顾名思义，CA 证书就是CA颁发的证书。CA 拥有一个证书（内含公钥）和 私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配 一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。 如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们