數(shù)字證書(shū)對(duì)大多數(shù)人來(lái)說(shuō)是個(gè)新鮮事物，容易把它與高科技聯(lián)系到一起，讓人敬而遠(yuǎn)之。由于缺乏了解，多數(shù)人對(duì)數(shù)字證書(shū)敬而遠(yuǎn)之。其實(shí)，數(shù)字證書(shū)很容易理解。本文試圖通過(guò)簡(jiǎn)單介紹，讓大家對(duì)數(shù)字證書(shū)有個(gè)印象性了解。

什么是數(shù)字證書(shū)

數(shù)字證書(shū)在網(wǎng)絡(luò)上類似于人在社會(huì)上持有的身份證等證件，用來(lái)在網(wǎng)絡(luò)上證明數(shù)字證書(shū)持有者的身份。數(shù)字證書(shū)持有者可能是現(xiàn)實(shí)社會(huì)中的自然人、法人，也可能是網(wǎng)絡(luò)設(shè)備。數(shù)字證書(shū)可以簡(jiǎn)單理解為“網(wǎng)絡(luò)身份證”，用來(lái)在網(wǎng)絡(luò)上證明自己的身份。
數(shù)字證書(shū)與身份證都是由專門的機(jī)構(gòu)來(lái)簽發(fā)。

身份證通常由公安局來(lái)簽發(fā)，上面蓋有簽發(fā)單位的公章。而受電子簽名法保護(hù)的數(shù)字證書(shū)則是由國(guó)家許可的第三方數(shù)字認(rèn)證中心(簡(jiǎn)稱CA中心)來(lái)簽發(fā)，數(shù)字證書(shū)上面有CA中心的電子簽名，以證明數(shù)字證書(shū)的有效性。根據(jù)國(guó)家相關(guān)部門的許可授權(quán)建立的數(shù)字認(rèn)證中心，在Internet上具有公信力，用它簽發(fā)的數(shù)字證書(shū)所簽署的電子合同、電子訂單等電子文書(shū)具有法律效力。

數(shù)字證書(shū)上面主要包括以下信息：證書(shū)版本號(hào)、證書(shū)持有者信息、證書(shū)簽發(fā)者(CA)信息、證書(shū)起止有效期、證書(shū)序列號(hào)、證書(shū)簽發(fā)者的簽名等。這些信息與身份證類似。證書(shū)簽發(fā)者對(duì)數(shù)字證書(shū)的簽名可以起到對(duì)數(shù)字證書(shū)本身的防偽作用，這與身份證上的公章類似。但CA中心對(duì)證書(shū)的數(shù)字簽名是不可能被偽造的。

數(shù)字證書(shū)的特性

數(shù)字證書(shū)具有以下特性：

1.真實(shí)性：由于數(shù)字證書(shū)與現(xiàn)實(shí)社會(huì)中的實(shí)體(人、法人、設(shè)備等)綁定的，且數(shù)字證書(shū)簽發(fā)時(shí)，需要由CA中心對(duì)數(shù)字證書(shū)申請(qǐng)進(jìn)行嚴(yán)格鑒別、驗(yàn)證，所以數(shù)字證書(shū)可以確保網(wǎng)絡(luò)行為的主體是真實(shí)的，可以與現(xiàn)實(shí)社會(huì)中的實(shí)體對(duì)應(yīng)的。

2. 完整性：數(shù)字證書(shū)在使用過(guò)程中依賴于哈希算法數(shù)學(xué)原理。哈希算法可以保證受保護(hù)的內(nèi)容在傳輸過(guò)程中不被篡改；如果被保護(hù)的內(nèi)容被篡改，則一定能夠發(fā)現(xiàn)。

3.保密性：數(shù)字證書(shū)具有加密功能。被加密的數(shù)據(jù)在加密后，只有加密方所設(shè)定的接收方證書(shū)的持有者才能閱讀被加密內(nèi)容；其它任何人無(wú)法閱讀加密內(nèi)容。

4.抗抵賴性：經(jīng)過(guò)數(shù)字證書(shū)電子簽名的數(shù)據(jù)，一旦簽名并發(fā)布，數(shù)字證書(shū)持有者無(wú)法抵賴自己做過(guò)的數(shù)字簽名。

基于以上特性，數(shù)字證書(shū)被廣泛用來(lái)進(jìn)行以下工作：

1、 通信加密。

由于數(shù)字證書(shū)具有機(jī)密性，它可以被用于進(jìn)行密鑰交換，以加密大數(shù)據(jù)量?jī)?nèi)容。

2、 身份驗(yàn)證。

基于數(shù)字證書(shū)具有真實(shí)性特點(diǎn)，它可以被用來(lái)進(jìn)行身份驗(yàn)證。由于數(shù)字證書(shū)加密強(qiáng)度非常高，且數(shù)字證書(shū)經(jīng)常被存儲(chǔ)于專用的UsbKey設(shè)備，所以其安全性遠(yuǎn)大于基于口令的身份驗(yàn)證。

3、 電子簽名。

基于數(shù)字證書(shū)的完整性、抗抵賴性特點(diǎn)，數(shù)字證書(shū)被廣泛用于電子簽名。這是數(shù)字證書(shū)最重要的應(yīng)用方面。受電子簽名法保護(hù)的數(shù)字證書(shū)可以被用來(lái)在網(wǎng)上簽署電子合同、電子訂單、電子公文等，簽名結(jié)果具有與手寫(xiě)簽名的法律效力。

數(shù)字證書(shū)的分類

基于數(shù)字證書(shū)的應(yīng)用角度分類，數(shù)字證書(shū)可以分為以下幾種：

1.服務(wù)器證書(shū)

服務(wù)器證書(shū)被安裝于服務(wù)器設(shè)備上，用來(lái)證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書(shū)可以用來(lái)防止假冒站點(diǎn)。

在服務(wù)器上安裝服務(wù)器證書(shū)后，客戶端瀏覽器可以與服務(wù)器證書(shū)建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會(huì)被加密。同時(shí)，瀏覽器會(huì)自動(dòng)驗(yàn)證服務(wù)器證書(shū)是否有效，驗(yàn)證所訪問(wèn)的站點(diǎn)是否是假冒站點(diǎn)。

服務(wù)器證書(shū)保護(hù)的站點(diǎn)多被用來(lái)進(jìn)行密碼登錄、訂單處理、網(wǎng)上銀行交易等。

2.電子郵件證書(shū)

電子郵件證書(shū)可以用來(lái)證明電子郵件發(fā)件人的真實(shí)性。它并不證明數(shù)字證書(shū)上面CN一項(xiàng)所標(biāo)識(shí)的證書(shū)所有者姓名的真實(shí)性，它只證明郵件地址的真實(shí)性。

收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實(shí)由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒(méi)有被篡改過(guò)。

另外，使用接收的郵件證書(shū)，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開(kāi)該郵件。

3.客戶端個(gè)人證書(shū)

客戶端證書(shū)主要被用來(lái)進(jìn)行身份驗(yàn)證和電子簽名。

安全的客戶端證書(shū)我被存儲(chǔ)于專用的usbkey中。存儲(chǔ)于key中的證書(shū)不能被導(dǎo)出或復(fù)制，且key使用時(shí)需要輸入key的保護(hù)密碼。使用該證書(shū)需要物理上獲得其存儲(chǔ)介質(zhì)usbkey，且需要知道key的保護(hù)密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在internet最安全的身份認(rèn)證手段之一。

客戶端個(gè)人證書(shū)的申請(qǐng)，一般需要被嚴(yán)格鑒證，以證明數(shù)字證書(shū)與使用者的綁定關(guān)系。該證書(shū)可以被用來(lái)進(jìn)行電子簽名。合法的電子證書(shū)的電子簽名結(jié)果具有法律效力。因此，客戶端個(gè)人證書(shū)被廣泛應(yīng)用于各個(gè)行業(yè)，如網(wǎng)絡(luò)商務(wù)、電子政務(wù)、網(wǎng)上報(bào)稅、網(wǎng)上銀行等。

多數(shù)客戶端個(gè)人證書(shū)一般具有電子郵件證書(shū)的功能。

4.企業(yè)證書(shū)

企業(yè)證書(shū)與客戶端個(gè)人證書(shū)類似，可以用來(lái)進(jìn)行身份驗(yàn)證和電子簽名。區(qū)別只在于企業(yè)證書(shū)被法人或機(jī)構(gòu)所擁有。

5.代碼簽名證書(shū)

代碼簽名證書(shū)用來(lái)證明軟件的簽發(fā)者，發(fā)布信任代碼。比如網(wǎng)絡(luò)上廣泛使用的ActiveX如果未簽名，瀏覽器會(huì)拒絕安裝；而簽過(guò)名的ActiveX則會(huì)被提示該軟件的發(fā)行公司，由用戶確認(rèn)是否安裝。這對(duì)于防止惡意軟件假冒可信公司安裝軟件非常重要。

代碼簽名證書(shū)除了可以用于簽署微軟可執(zhí)行代碼外，也可以用來(lái)簽名java代碼、Symbian代碼等。