忆龙2009:数字证书(CA)的分类

 

      在互联网上,我们通常会使用四种类型的数字证书,下面就让我们来对它们进行一个初步的认识:

 

个人证书:

      个人证书用来对个人信息进行识别.它通常可以让服务器来对用户进行认证,或者使用S-Mime来发送安全的e-mail. 微软推荐将你的个人证书导出到一个安全的位置,以防止你的个人证书损坏. 如果口令列表文件(.pwl)损坏或丢失,证书将无法再继续使用.如果证书遭到损坏,当你在发送邮件时你会收到错误的提示信息.

 

服务器证书:

      当服务器使用类似SSL协议的安全协议与其它计算机进行通讯时,服务器证书将用来对服务器的身份进行验证. 这种证书允许客户端来验证服务器的身份. 服务器证书采用公钥密码标准PKCS定义的X.509 证书格式.

 

软件发行证书:

      虽然使用了软件发行证书,但是微软的安全码仍然无法保证软件能够安全地运行,但是至少可以告诉用户这个软件是否是由可以信任的发行人提供的. 这种证书被用来在互联网上对所发行的软件进行签名.
      安全码要求软件发行证书对微软ActiveX控件及其它已编译的代码进行签名. IE浏览器可以识别经过软件发行证书进行签名的软件,给用户提示即将运行的软件是否是被信任的.
      如果想查看一个被IE信任的软件发行商列表,可以点击IE浏览器上的 Internet选项 ,然后选择 内容 选项卡,然后点击 发行商, 如果你对某个发行商不信任,你可以将它们从列表中删除.

 

证书机构证书:

      IE5将CAs划分为两种类型,根证书机构及中级证书机构. 根证书可以实现自签名,意思是根证书可以对自己进行验证.根证书机构可以给中级证书机构分发证书,而中级证书机构则可以分发服务器证书、个人证书及软件发行证书,或者给其它中级证书机构颁发证书.
      例如,如果你在IE浏览器的属性对话框中点击了证书,将会显示出所有已经安装在你的计算机上的证书.你能看到一个受信任的根证书机构,如"Class 1 Public Primary Certification Authority" ,该机构由VeriSign公司在运行. 这个证书由 Class 1 Public Primary Certificate Authority 发行并签名, 而且它是一个根证书. 在中级证书机构选项卡中, 可以看到几个证书类似 "VeriSign Class 1 CA." 这是由上面提到的根证书机构颁发的. 这些中级证书机构用来颁发个人数字证书并对它们进行验证, 如果个人从 Class 1 personal digital certificate from VeriSign 获得了数字证书,这些证书是由中级证书机构来颁发的. 这样就组成了一个验证的关系链. 在这个例子中,在验证关系链中只有三个证书用于个人证书.实际上,验证关系链可以包含更大数量的证书,这取决于中级证书机构的数量.