數(shù)字證書對大多數(shù)人來說是個新鮮事物，容易把它與高科技聯(lián)系到一起，讓人敬而遠之。由于缺乏了解，多數(shù)人對數(shù)字證書敬而遠之。其實，數(shù)字證書很容易理解。本文試圖通過簡單介紹，讓大家對數(shù)字證書有個印象性了解。

什么是數(shù)字證書

數(shù)字證書在網(wǎng)絡(luò)上類似于人在社會上持有的身份證等證件，用來在網(wǎng)絡(luò)上證明數(shù)字證書持有者的身份。數(shù)字證書持有者可能是現(xiàn)實社會中的自然人、法人，也可能是網(wǎng)絡(luò)設(shè)備。數(shù)字證書可以簡單理解為“網(wǎng)絡(luò)身份證”，用來在網(wǎng)絡(luò)上證明自己的身份。
數(shù)字證書與身份證都是由專門的機構(gòu)來簽發(fā)。

身份證通常由公安局來簽發(fā)，上面蓋有簽發(fā)單位的公章。而受電子簽名法保護的數(shù)字證書則是由國家許可的第三方數(shù)字認證中心(簡稱CA中心)來簽發(fā)，數(shù)字證書上面有CA中心的電子簽名，以證明數(shù)字證書的有效性。根據(jù)國家相關(guān)部門的許可授權(quán)建立的數(shù)字認證中心，在Internet上具有公信力，用它簽發(fā)的數(shù)字證書所簽署的電子合同、電子訂單等電子文書具有法律效力。

數(shù)字證書上面主要包括以下信息：證書版本號、證書持有者信息、證書簽發(fā)者(CA)信息、證書起止有效期、證書序列號、證書簽發(fā)者的簽名等。這些信息與身份證類似。證書簽發(fā)者對數(shù)字證書的簽名可以起到對數(shù)字證書本身的防偽作用，這與身份證上的公章類似。但CA中心對證書的數(shù)字簽名是不可能被偽造的。

數(shù)字證書的特性

數(shù)字證書具有以下特性：

1.真實性：由于數(shù)字證書與現(xiàn)實社會中的實體(人、法人、設(shè)備等)綁定的，且數(shù)字證書簽發(fā)時，需要由CA中心對數(shù)字證書申請進行嚴格鑒別、驗證，所以數(shù)字證書可以確保網(wǎng)絡(luò)行為的主體是真實的，可以與現(xiàn)實社會中的實體對應(yīng)的。

2. 完整性：數(shù)字證書在使用過程中依賴于哈希算法數(shù)學(xué)原理。哈希算法可以保證受保護的內(nèi)容在傳輸過程中不被篡改；如果被保護的內(nèi)容被篡改，則一定能夠發(fā)現(xiàn)。

3.保密性：數(shù)字證書具有加密功能。被加密的數(shù)據(jù)在加密后，只有加密方所設(shè)定的接收方證書的持有者才能閱讀被加密內(nèi)容；其它任何人無法閱讀加密內(nèi)容。

4.抗抵賴性：經(jīng)過數(shù)字證書電子簽名的數(shù)據(jù)，一旦簽名并發(fā)布，數(shù)字證書持有者無法抵賴自己做過的數(shù)字簽名。

基于以上特性，數(shù)字證書被廣泛用來進行以下工作：

1、 通信加密。

由于數(shù)字證書具有機密性，它可以被用于進行密鑰交換，以加密大數(shù)據(jù)量內(nèi)容。

2、 身份驗證。

基于數(shù)字證書具有真實性特點，它可以被用來進行身份驗證。由于數(shù)字證書加密強度非常高，且數(shù)字證書經(jīng)常被存儲于專用的UsbKey設(shè)備，所以其安全性遠大于基于口令的身份驗證。

3、 電子簽名。

基于數(shù)字證書的完整性、抗抵賴性特點，數(shù)字證書被廣泛用于電子簽名。這是數(shù)字證書最重要的應(yīng)用方面。受電子簽名法保護的數(shù)字證書可以被用來在網(wǎng)上簽署電子合同、電子訂單、電子公文等，簽名結(jié)果具有與手寫簽名的法律效力。

數(shù)字證書的分類

基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種：

1.服務(wù)器證書

服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進行通信加密。服務(wù)器證書可以用來防止假冒站點。

在服務(wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會被加密。同時，瀏覽器會自動驗證服務(wù)器證書是否有效，驗證所訪問的站點是否是假冒站點。

服務(wù)器證書保護的站點多被用來進行密碼登錄、訂單處理、網(wǎng)上銀行交易等。

2.電子郵件證書

電子郵件證書可以用來證明電子郵件發(fā)件人的真實性。它并不證明數(shù)字證書上面CN一項所標識的證書所有者姓名的真實性，它只證明郵件地址的真實性。

收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過。

另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件。

3.客戶端個人證書

客戶端證書主要被用來進行身份驗證和電子簽名。

安全的客戶端證書我被存儲于專用的usbkey中。存儲于key中的證書不能被導(dǎo)出或復(fù)制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質(zhì)usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。

客戶端個人證書的申請，一般需要被嚴格鑒證，以證明數(shù)字證書與使用者的綁定關(guān)系。該證書可以被用來進行電子簽名。合法的電子證書的電子簽名結(jié)果具有法律效力。因此，客戶端個人證書被廣泛應(yīng)用于各個行業(yè)，如網(wǎng)絡(luò)商務(wù)、電子政務(wù)、網(wǎng)上報稅、網(wǎng)上銀行等。

多數(shù)客戶端個人證書一般具有電子郵件證書的功能。

4.企業(yè)證書

企業(yè)證書與客戶端個人證書類似，可以用來進行身份驗證和電子簽名。區(qū)別只在于企業(yè)證書被法人或機構(gòu)所擁有。

5.代碼簽名證書

代碼簽名證書用來證明軟件的簽發(fā)者，發(fā)布信任代碼。比如網(wǎng)絡(luò)上廣泛使用的ActiveX如果未簽名，瀏覽器會拒絕安裝；而簽過名的ActiveX則會被提示該軟件的發(fā)行公司，由用戶確認是否安裝。這對于防止惡意軟件假冒可信公司安裝軟件非常重要。

代碼簽名證書除了可以用于簽署微軟可執(zhí)行代碼外，也可以用來簽名java代碼、Symbian代碼等。