第三方ca证书签名加密

A. 如何使用ca证书 实现 电子签名

《电子签名法》第13、14条规定：电子签名同时符合下列条件的，视为可靠的电子签名：

从技术上来讲，可以通过三种方式确保签署时数字证书由电子签名人控制：

其一是通过电子签名人设置签名密码;

其二是系统下发验证码到电子签名人提供的手机或邮箱，或提供验证码生成器给电子签名人，通过电子签名人回填验证码的方式确保数字证书由电子签名人控制;

其三是通过EID调用数字证书。EID是派生于居民身份证、在网上远程证实身份的证件，即“电子身份证”。在技术上。EID也是采用PKI(Public Key
Infrastructure，公钥基础设施)的密钥对技术，由智能芯片生成私钥，再由公安部门统一签发证书、并经现场身份审核后，再发放给公民。EID
采用了PKI、硬证书加PIN码的技术，通过这些技术可以有效防止在网络上身份信息被截取、篡改和伪造。而且由于EID具有PIN码，别人捡到或盗取后也
无法使用。EID本身采用先进密码技术，重要信息在key中物理上就无法被读取，因此无法被破解，从而有效避免被他人冒用。

如果采用了“数字签名”技术，一般可认定为可靠的电子签名。

数字签名并非是书面签名的数字图像化，而是通过密码技术对电子文档进行电子形式的签名。实际上人们可以否认曾对一个文件签过名，且笔迹鉴定的准确率并非
100%，但却难以否认一个数字签名。因为数字签名的生成需要使用私有密钥，其对应的公开密钥则用以验证签名，再加上目前已有一些方案，如数字证书，就是把一个实体(法律主体)的身份同一个私有密钥和公开密钥对绑定在一起，使得这个主体很难否认数字签名。

就其实质而言，数字签名是接收方能够向第三方证明接收到的消息及发送源的真实性而采取的一种安全措施，其使用可以保证发送方不能否认和伪造信息。

数字签名的主要方式是：报文的发送方从报文文本中生成一个散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密和验证。如果两个散列值(也称哈希值)相同，那么接收方就能确认该数字签名是发送方的。哈希值有固定的长度，运算不可逆，不同明文的哈希值不同，而同样明文的哈希值是相同并唯一的，原文的任何改动其哈希值就会发生变化，通过此原理可以识别文件是否被篡改。

事实上，被篡改的经过数字签名的数据电文很容易被发觉，甚至该文件在外观上即可识别、无需鉴定，除非被告能够提交不同内容且未发现篡改的经过数字签名的数据电文。

B. ca数字证书有什么用

CA(Certificate Authority) ：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为： 产生密钥对、生成数字证书、分发密钥、密钥管理等。

数字证书：是由CA机构颁发的证明（也就是问题中提及的CA证书），它包含了公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息。我们可以通俗的理解为数字证书是个人或企业在网络上的身份证。

申请手续简化：

一是简化商标数字证书申请手续，2月1日起，已提交数字证书申请的代理机构不需提交纸质材料，在网上申请系统提交用户注册申请后，审核通过后即发商标数字证书；

二是缩短商标数字证书制作周期，3月1日起，按周制作、发放新申请的商标数字证书，制作周期为1至2个月。

C. CA证书是什么有什么作用

CA 证书，顾名思义，就是CA机构颁发的数字证书。人人都可以找工具制作证书。所谓认证机构(CA，Certificate Authority)，是采用公开密钥基础技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。CA的作用类似于我们现实生活中颁发证件的机构，如身份证办理机构等。

数字证书是目前国际上最成熟并广泛应用的信息安全技术。数字证书以密码学为基础，采用数字签名、数字信封、时间戳服务等技术，在Internet上建立起有效的信任机制。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。通俗而言，数字证书就是个人或单位在网络上的身份证。

CA证书的作用：

• 作用一，验证你打开的HTTPS网站是不是可信

• 作用二，验证你所安装的文件是不是遭到篡改

目前大多数知名的公司或组织机构发布的可执行文件(比如软件安装包、驱动程序、安全补丁)，都带有数字签名。建议大家在安装软件之前，都先看看是否有数字签名，如果有，就按照上述步骤验证;如果数字签名无效，建议你还是别装了，会有安全隐患。

D. ca证书的加密

我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。即把我们平时看到的“http”加密成“https”来传输，这样保证了信息在传输的过程中不被窃听。目前国内可以完成这个工作的CA是Wosign

E. 加密、签名、证书的作用及运用场景

本文主要是简单介绍了常见的加密类型、各自的运用场景、为什么需要数字签名和数字证书、HTTPS涉及到的加密流程等。这里主要从使用者的角度出发，对算法本身不做过多介绍。

对称/非对称加密均属于 可逆加密，可以通过密钥将密文还原为明文 。

有时候，我们希望明文一旦加密后，任何人（包括自己）都无法通过密文逆推回明文，不可逆加密就是为了满足这种需求。
不可逆加密主要通过 hash算法实现：即对目标数据生成一段特定长度hash值 ；无论你的数据是1KB、1MB、1GB，都是生成特定长度的一个Hash值（比如128bit）。这里大家应该能感受到一点 不可逆 的味道，加密后128bit的hash值显然无法还原出1个G甚至更大的不规则数据的， hash可以看做是原来内容的一个摘要 。

常见算法：

小明给小红写信：

经过九转十八弯后，信的内容有可能：1. 被窥视 2. 被篡改（冒充小明发送假消息） ：

小红先 生成对称加密的密钥key1 ，然后通过一个安全的渠道交予小明。
传输数据时，小明 使用key1加密 ，而小红收到后再 使用key1解密 。
这时候 中间者既看不到原来的内容，也没办法篡改 （因为没有密钥）：

【对称加密】实现简单，性能优秀 ，算法本身安全级别高。然而对 密钥的管理 却是个很头疼的问题：一旦密钥交到对方手里，对方对密钥的保管能力 我方是没办法控制 的，一旦对方泄露的话，加密就形同虚设了。
相对而言，【非对称加密】的公钥就没有这个忧虑，因为 公钥 的设计就是为了 可以公开的 ，尽管对方泄露，我方也不会有任何损失。

小红生成一对公私钥，自己持有私钥（pri_key1），将公钥（pub_key1）交予小明。
传输数据时，小明使用 公钥加密 ，小红使用 私钥解密 。
因为 中间者没有私钥，公钥加密的内容是无法获取的 。此时达到了 防窥视 的效果：

然而因为 公钥是可以公开的 ，如果 中间者知晓公钥 的话，尽管没有办法看到原来的内容，却 可以冒充小明发送假消息 ：

这时小红在想，如果小明发送消息时，能带上 只有他自己才能生成 的数据（字符串），我就能 验证是不是小明发的真实消息 了。
通常这个 能证实身份的数据（字符串） 被称之为 数字签名（Signature）

小明再生成一对公私钥 ，自己持有私钥（pri_key2），将公钥交予小红（pub_key2）。

当小明传输数据时（可能很大），除了公钥加密明文之外，还要带上签名：(1) 对明文做一个hash摘要 (2)对摘要进行私钥加密，加密结果即签名（传输内容=内容密文+签名）

小红收到后：(1) 解密签名获取hash (2)解密内容密文，对解密后的明文进行hash；如果两个hash一致，说明验签通过。

尽管中间者修改了传输内容，但因为签名无法冒认（没有私钥），小红验签失败，自然不会认可这份数据：

通常 非对称加密要做到防窥视和防篡改，需要有两对公私钥 ：对方的公钥用于内容加密，自己的私钥用于签名（让对方验证身份）。

因为HTTP协议明文通信的安全问题，引入了HTTPS：通过建立一个安全通道（连接），来保证数据传输的安全。

服务器是 没办法直接将密钥传输到浏览器的 ，因为在 安全连接建立之前，所有通信内容都是明文的 ，中间者可窥视到密钥信息。
或许这时你想到了非对称加密，因为公钥是不怕公开的：

然而在第2步， 中间者可以截取服务器公钥，并替换成了自己的公钥 ，此时加密就没意义了：

为了 防止公钥被假冒，数字证书（digital certificate ）便诞生了 。

当服务器需要告诉浏览器公钥时，并不是简单地返回公钥，而是响应 包含公钥信息在内的数字证书 。

证书主要包含以下内容：

浏览器通过 【颁发机构的公钥】进行解密验签 ，验签通过即说明证书的真实性，可以放心取 证书拥有者的公钥 了。（ 常用CA机构的公钥都已经植入到浏览器里面 ）

数字证书只做一件事： 保证 服务器响应的 公钥是真实的 。

以上保证了 [浏览器⇒服务器] 是加密的，然而 [服务器⇒浏览器] 却没有（上图第4步）；另外一个是 性能问题 ，如果所有数据都使用非对称加密的话，会消耗较多的服务器资源，通信速度也会受到较大影响。
HTTPS巧妙地结合了非对称加密和对称加密，在保证双方通信安全的前提下，尽量提升性能。

HTTPS（SSL/TLS）期望 建立安全连接后，通信均使用【对称加密】 。
建立安全连接的任务就是让 浏览器-服务器协商出本次连接使用的【对称加密的算法和密钥】 ；协商过程中会使用到【非对称加密】和数字证书。

特别注意的是：协商的密钥必须是不容易猜到（足够随机的）：

其中比较核心的是随机数r3（pre-master secret），因为之前的r1、r2都是明文传输的， 只有r3是加密传输 的。至于为什么需要三个随机数，可以参考：

以上是一个比较简单的HTTPS流程，详细的可以参考文末的引用。

参考资料：
[1] 数字证书应用综合揭秘
[2] SSL/TLS协议运行机制的概述
[3] 图解SSL/TLS协议
[4] 《图解HTTP》