2.2.证书颁发和使用过程

• 首先，用户A向证书颁发机构提交个人信息，申请证书。通过CA审核后，CA生成用户A的证书，证书中包括了A的公钥和私钥还有CA的数字签名。证书颁发机构CA本身拥有一对密钥，这是对CA所颁发的证书进行数字签名和保密的基础，绝不能泄露。
• 用户A收到的证书中包括了带有CA数字签名的，专属A公钥和私钥，CA的数字签名确保了别人不能伪造用户A的公钥和私钥。
• 同时，用户B也必须信任给用户A颁发证书的第三方认证机构CA，即用户B拥有CA颁发的"CA公钥"。
• 通信时，用户A向用户B发送的数据包中的"加密的摘要"上有用户A的数字签名，“A公钥” 上有认证机构CA的数字签名。用户B收到数据包之后，先要验证收到的 “A公钥” 是否来源合法：是认证机构颁发的带有CA签名的公钥吗？用户B并不信任用户A，但是用户B信任第三方认证机构CA。所以，用户B先使用证书颁发机构颁发的 "CA公钥" 验证收到的 "A公钥" 是否由同一认证机构颁发，是否在颁发之后更改过。验证通过后，用户B便相信收到的 "A公钥" 确实来自真实的用户A。随后再使用 "A公钥" 对 "加密的摘要" 进行解密，进行上文提到的对比操作，以判断文件是否更改。

2.3.查看计算机信任的认证机构

信任一个第三方认证机构就意味着拥有该机构颁发的包含该机构公钥的证书。

• 在Windows系统开始菜单中输入"MMC"命令，打开 "Microsoft 管理工具" 。

• 打开 "文件" 菜单栏，选择 "添加或删除管理单元" 选项，找到 "证书" 。

• 点击 "添加" ，选择需要查看帐户的证书。可重复操作，添加多个账户。

• 添加完成之后，点击 "确认" ，即可查看相关帐户的证书。

• 双击列表中的一个 "证书" ，在 "详细信息" 中可以找到证书对应的 "公钥" 。

2.4.证书的吊销

当用户A遗失或泄露了CA颁发的证书后，为了避免他人使用该证书冒充用户A，用户A向认证机构CA "挂失" 该证书。于是认证机构CA把该证书放入该认证机构的证书吊销列表（CRL）中，并在网上公示。

用户B在收到用户A的公钥时，除了要验证该公钥是否位认证机构颁发的，还要登录认证机构的网站查看该公钥是否已被认证机构吊销变为无效证书。

2.5.总结

认证机构CA的作用：

• 为企业和用户颁发数字证书，确保这些企业和个人的身份是真实的；
• 发布证书吊销列表，供用户查询收到的证书是否已被机构吊销而无效；

认证机构发挥作用的前提：

• 企业和个人都要信任认证机构。

 6/6   首页 上一页 4 5 6