数字证书用户手册新疆数字证书认证中心 二〇〇六年三月目 录1、什么是数字证书 (2)2、数字证书的基本功能 (9)3、数字证书是如何保障信息安全的 (12)4、如何获得数字证书 (24)5、数字证书的更新 (24)6、数字证书的废除 (24)7、数字证书的应用 (28)8、数字证书的发证机构 (40)9、用户须知 (42)10、联系方式 (43)11、什么是数字证书1．1、数字证书的概念互联网（Internet）为使用者提供了一个开放的、跨越国界的信息高速公路；基于互联网的各种应用蓬勃发展给各行各业带来了机遇和挑战。

但网上欺诈、偷盗和非法闯入等行为对互联网的各类应用构成了严重威胁，随着数字证书认证中心的出现和数字证书的使用，使得开放的网络更加安全。

数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

2数字证书是由权威公正的第三方机构即数字证书认证中心（CA ）签发和管理的，是标志 网络用户身份信息的电子文档。

数字证书的内容和身份证颇为相似，可以做以下比较：身份证 数字证书 身份证所有者的身份信息 数字证书所有者的 身份信息 身份证有效期数字证书有效期 相同点 公安机关颁发数字证书认证中心签发 不同点 —— 公共密钥数字证书比身份证只多了一个公共密钥（简称公钥）。

如同身份证用来证明每一个人的身份一样，数字证书用来保证公钥和特定实体之间的联系。

数字证书提供的是网络上的身份证明。

因此，也有人称数字证书是“网络身3份证”。

1．2、数字证书的内容最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循x.509国际标准，证书所包含的内容如下：z版本号z序列号z签名算法标识符z认证机构z有效期限z主题信息z认证机构的数字签名z公钥信息1．3、常用的数字证书类型数字证书从功能方面来讲，分为加密证书和签名证书两类。

加密证书用于加密和解密，签名证书用于数字签名（电子签名）。

从特定4实体方面来讲，分为个人数字证书、单位数字证书、WEB证书、设备身份证书、代码签名证书、无线应用证书等等，随着数字证书的应用领域的不断扩展，新疆CA中心还会提供更多应用方式的数字证书，以满足广大用户的信息安全及认证方面的需求。

（目前新疆CA中心主要办理数字证书的种类是个人数字证书、单位数字证书、设备数字证书）。

个人数字证书：个人数字证书中包含证书持有者的个人身份信息、公钥及新疆CA中心的签名，它就像我们日常生活中使用的身份证一样，在网络通讯中标识证书持有者个人身份的电子身份证书。

它用于标志证书持有人在进行信息交易、在线支付等网络活动中的身份，并且保障信息在传输中的安全性和完整性。

个人身份证书存贮在USB存储器中，方便携带、保存和使用。

单位数字证书：单位数字证书中包含单位基本信息、公钥及新疆CA中心的签名，和个人数字证书一样，在网络通讯中标识证书持有单5位的身份，可以存贮在USB存储器中。

单位证书应用于工商、税务、金融、质量监督、车辆管理、政府采购、政府行政办公、社保等各个行业的网上应用。

WEB服务器证书：是Web Server与用户浏览器之间建立安全连接时所使用的数字证书。

它包含了WEB服务器IP地址和域名信息、公钥及新疆CA中心的签名，主要是通过在客户端浏览器和Web Server之间建立起一条SSL安全通道，来保证用户在网络通讯中的安全性。

由于和网站的IP地址、域名绑定，因此它可以保证网站的真实性和不被人仿冒。

设备身份证书：设备身份证书中包含设备信息、公钥及新疆CA中心的签名，在网络通讯中标识和验证设备的身份以保证与其他服务器或客户端通信的安全性。

设备证书代表证书持有设备的身份。

与设备证书中包含的设备的公钥相对应的私钥存放在设备内部存储器上或加密硬件设备上。

代码签名证书：代码签名证书包含软件提6供商的身份信息、公钥及新疆CA中心的签名，用于保证发布软件的真实性、完整性和可靠性。

软件开发者借助代码签名证书，在软件代码中附加一些相关信息，使得用户在下载这些具有代码签名的软件时，可以确信软件的真实签发者和软件在签发之后未经篡改或破坏。

无线应用证书：无线应用证书用于无线通讯用户的身份识别和信息安全。

通过对无线应用证书的认证，加强了使用无线网络的单位、个人和无线网络运营商对用户身份的识别，确保了信息安全和网络安全。

1．4、数字证书的硬件产品数字证书生成后新疆CA会将数字证书（限单位或个人证书）存储于具有特殊加密技术手段的USB存储器中（也称USBKEY）并发给最终用户。

USBKEY是一个带智能芯片、形状类似于闪存（即U盘）的实物硬件。

它是一种基于USB接口，采用国际上先进的智能卡技术的信息安全产品。

USBKEY支持1024位的RSA密钥对在智能卡芯片内生成，可快速完成数字签名、签名认证、加7密、解密运算。

它外形小巧、携带方便，是目前进行网上交易安全级别最高的一种安全工具，也是用于PKI解决方案理想的硬件产品。

USBKEY介质证书的特点：符合国家对密码机信息安全产品管理的相关规定；密钥算法在USBKEY内进行，保证了用户信息的安全；用户私钥不可从USBKEY中导出，保证了私钥的安全；USBKEY使用时需要使用者输入启动密码，保障了硬件本身的安全性。

1．5、数字证书的法律效力2005年4月1日实施的《电子签名法》规定“当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力”、“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。

数字证书支持可靠的电子签名是合法有效的。

81．6、数字证书的签发机构《电子签名法》规定“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务”。

提供电子认证服务的机构一般称为数字证书认证中心（Certificate Authority）数字证书是数字证书认证中心（CA）签发的。

CA作为第三方认证机构具有三个特性：z权威性：是由国家主管部门批准的；z公正性：独立于交易双方以外，不参与双方利益；z可信性：具有与提供电子认证服务相适应的专业技术人员和管理人员；具有与提供电子认证服务相适应的资金和经营场所；具有符合国家安全标准的技术和设备；具有国家密码管理机构同意使用密码的证明文件和法律、行政法规规定的其他条件。

2、数字证书的基本功能由于因特网电子商务系统技术的不断发展，使得在网上购物的顾客能够极其方便轻松9地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。

对于在因特网上进行的一切金融交易运作的买方和卖方，要求都必须是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统中必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四个要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。

数字证书主要有以下四大功能：2．1、信息的保密性在电子政务、电子商务信息传递过程中，均有对网络信息保密的要求。

如：电子政务系统中的网上行政申报审批系统，由于系统中许多数据属于敏感信息，所以就需要保证传输过程中的数据的保密性。

而在电子商务领域中，信用卡的帐号和用户名如果被人知悉，就可能被盗用，订货和付款的信息如果被竞争对手获悉，就可能丧失商机。

而新疆CA中心颁发的数字证书保证了电子政务、电子商务领域的信息在网络传播中的保密性。

2．2、网络合法身份的确认性能方便而可靠地确认网络中对方合法身份是网络信息交换的需要。

如：电子政务业务办理人员的网上合法身份的确认；为顾客或用户开展网络业务服务的银行、信用卡公司和商店，都要进行对交易者合法身份认定的工作。

而新疆CA中心颁发的数字证书可提供网上交易双方合法身份的认证。

2．3、完整性数字证书具有签名验证和对电子文件进行加密的功能，可以通过验证方式确认电子信息是否被修改过，因此新疆CA中心颁发的数字证书也确保了电子文件在网络中传送过程中的完整性。

2．4、不可抵赖性新疆CA中心是经国家有关部门审核批准依法设立的第三方电子认证服务机构，使用由新疆CA中心颁发的数字证书在网络中办理的电子签名信息受《中华人民共和国电子签名法》认可，具有不可抵赖性。

3、数字证书是如何保障信息安全的数字证书是在公开密钥密码体制中，通过加密和数字签名的操作，提供保障信息安全的密码服务。

加密是运用一定的数学算法将数据转换成不可直接识读的形式。

加密有两个基本元素，加密算法和密钥。

加密算法是用来改变原始数据的方法，密钥是使加密过程得出一个唯一结果的变量（密钥由算法产生）。

数字签名是基于被签名数据内容的一种密码变换，也必须完成一系列加密和解密的转换。

完成加密和解密功能的密码方案称作密码体制。

密码体制分为对称密码体制和非对称密码体制两大类。

3．1、公开密钥密码体制也叫非对称密码体制、双密钥密码体制。

公钥密码体制是非对称的，它的特点是加密和解密使用不同的密钥。

加密密钥可以公开，称为公钥；解密密钥必须保密，称为私钥。

非对称秘钥加密技术见下图：由上图可知，用户A从目录中找到用户B 的公钥，进行加密（明文+算法+用户B的公钥=密文）。

说明：由于公钥是公开的，所以只要知道接受者的公钥的人都可以用其公钥加密消息发给接收者。

用户B用自己的私钥解密（密文+算法+用户B的私钥=明文）。

说明：因为私钥是保密的，只有接收者自己才可以解密消息。

另外一种是对称密钥密码体制也叫单密钥密码体制、常规密钥密码体制。

它的特点是加密和解密使用相同的密钥，它要求发送者和接收者在安全通信之前先商定一个密钥。

很明显它的安全性，完全依赖于密钥是否能够真正保密，一旦泄露密钥就意味着加密所带来的安全性不复存在。

对称密钥加密技术使用的最大局限在于必须设计出一些方法来安全地分发和管理作为系统核心的密钥，通常称为密钥管理。

当涉及到许多个当事方时，这就为密钥的变更与分发工作加大了难度和复杂性。

而公钥密码体制既解决了常规密钥密码体制的密钥管理与分配的问题，还可以支持数字签名和不可否认性的需求。

公钥密码体制在信息的保密性、密钥分配和认证领域有着重要意义。

3．2、通过加密技术解决机密性要求由于密钥长度通常在1024位—2048位之间，会导致密文过长，因此非对称加密密钥算法效率大大低于对称密钥算法。

现代密码技术多采用加密技术和非对称加密技术联合加密的方式，将对称密钥用于敏感数据的加密保护，将非对称密钥用于会话密钥的保护和分发。