什么是PKI?什么是公钥和私钥?什么是CSR ?
PKI(公钥基础设施 Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说, PKI 就是利用公钥理论和技术建立的提供安全服务的基础设施。互联网用户可利用 PKI 平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。
PKI 技术采用证书管理公钥,通过第三方的可信任机构--CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起,在互联网上验证用户的身份。目前,通用的办法是采用建立在 PKI 基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。 PKI 是基于公钥算法和技术,为网上通信提供安全服务的基础设施,是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是 CA 认证机构。 PKI 技术是信息安全技术的核心,也是电子商务的关键和基础技术。
由于 Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息 , 但同时也增加了对某些敏感或有价值的数据被滥用的风险,为了保证互联网上电子交易及支付的安全性、保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档,它提供了一种在 Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证,它是由一个由权威机构--CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书颁发机构发布,每种证书可提供不同级别的可信度,可以从证书颁发机构获得您自己的数字证书。目前的数字证书类型主要包括:个人数字证书、单位数字证书、服务器SSL证书、互联网设备数字证书、移动 WAP证书、代码签名证书等等。
具体来讲, 对于服务器SSL证书, 您在申请服务器数字证书时一定要先在您的服务器上生成 CSR 文件 ( Certificate Signing Request 证书签名请求文件),并把服务器挂起等待数字证书的颁发,由于您在生成 CSR 文件时已经在服务器上同时生成自己的密钥对(公钥和私钥),这是一对相互关联的密钥对,您不能在没有收到 CA发给您的数字证书之前删除已经挂起的证书请求,否则就等于删除了您的私钥,到时收到CA发给您的数字证书并安装时会出现问题,因为已经找不到匹配的私钥,发给您的数字证书就没有用了,只能重新生成 CSR 和重新颁发证书,耽误了您和大家的时间,请在发送给 CSR 给我们之后不要做任何其他有关证书的操作,也不要把以前试用的或自签的证书重新导回去,如果您为了不影响已有证书的使用,可以与我们预约在周六切换,我们可以在10分钟内颁发SSL证书给您。请在服务器数字证书安装成功后一定要导出备份您的数字证书(包括公钥和私钥 ) ,以便以后服务器重装导入。
而对于客户端数字证书(包括个人数字证书和单位数字证书)的颁发过程就要简单许多,您只需点击您收到的从 WoSign 系统发来的证书申请成功的 Email 中的链接即可,您的电脑操作系统会生成您的密钥对(公钥和私钥),并由 WoSign 在公钥签名后自动在您的电脑安装成功(包括 IE 和 OUTLOOK) ,同样请一定要备份您的数字证书(包括公钥和私钥),以便以后重装导入。推荐备份成功导出后选择自动删除您的数字证书,再导入到电脑或 USB Key 中,导入时不要选择“将私钥标记为可导出的”,以免其他人非法使用您的电脑导出您的证书。
。