¿Qué es un certificado de CA?

La función de la CA es comprobar la legitimidad de la identidad del titular del certificado, emitir el certificado (firmar en el certificado), evitar que el certificado sea falsificado o manipulado y gestionar el certificado y llave. (3) Centro de CA El centro de CA emite un certificado digital a cada usuario que utiliza una clave pública. La función del certificado digital es demostrar que el usuario que figura en el certificado posee legalmente la clave pública que figura en el certificado. La tecnología de firma digital del centro de certificación de CA evita que los atacantes falsifiquen y alteren los certificados. En las transacciones SET, la CA no solo emite certificados a titulares de tarjetas y comerciantes, sino que también emite certificados a bancos y pasarelas involucradas en el proceso de transacción. Es responsable de generar, distribuir y gestionar los certificados digitales requeridos por todas las personas involucradas en transacciones en línea. (4) Tipos de certificados CA Los certificados emitidos por el centro CA se dividen en dos categorías: certificados SSL y certificados SET. En términos generales, los certificados SSL (Secure Sockets Layer) sirven para actividades de comercio electrónico de banco a empresa o de empresa a empresa, mientras que los certificados SET (Secure Electronic Transactions) sirven para consumo con tarjeta y compras en línea. Aunque ambos son certificados utilizados para identificar identidades y firmas digitales, sus sistemas de confianza son completamente diferentes y los estándares que cumplen también son diferentes. En pocas palabras, la función de un certificado SSL es demostrar la identidad del titular mediante una clave pública. La función del certificado SET es utilizar la clave pública para demostrar que el titular tiene la cuenta de tarjeta de crédito en el banco designado y también prueba la identidad del titular. Cuando los usuarios quieran obtener un certificado, primero deben presentar una solicitud al centro de CA y explicar su identidad. Tras verificar la identidad del usuario, el centro CA emite al usuario el correspondiente certificado de seguridad digital. Las agencias de certificación deben seguir ciertos principios al emitir certificados, por ejemplo, deben asegurarse de que los números de serie de los certificados que emiten sean diferentes. El contenido temático de los certificados obtenidos por dos entidades diferentes debe ser diferente. información clave, etc. (5) ¿Cuáles son los principios y funciones básicos de los certificados de CA? Apretón de manos y comunicación del protocolo SSL Para comprender y comprender mejor el protocolo SSL, aquí nos centramos en el protocolo de protocolo de enlace del protocolo SSL. El protocolo SSL utiliza tanto tecnología de cifrado de clave pública como tecnología de cifrado simétrico. Aunque la tecnología de cifrado simétrico es más rápida que la tecnología de cifrado de clave pública, la tecnología de cifrado de clave pública proporciona una mejor tecnología de autenticación de identidad. El protocolo de protocolo de enlace SSL es muy eficaz para permitir que el cliente y el servidor completen la autenticación de identidad mutua. El proceso principal es el siguiente: ① El navegador del cliente transmite el número de versión del protocolo SSL del cliente, el tipo de algoritmo de cifrado y el valor aleatorio generado. número al servidor, y otra información diversa necesaria para la comunicación entre el servidor y el cliente. ② El servidor transmite el número de versión del protocolo SSL, el tipo de algoritmo de cifrado, el número aleatorio y otra información relacionada al cliente. Al mismo tiempo, el servidor también transmitirá su propio certificado al cliente. ③ El cliente utiliza la información transmitida desde el servidor para verificar la legitimidad del servidor. La legitimidad del servidor incluye: si el certificado ha caducado, si la CA que emitió el certificado del servidor es confiable y si la clave pública del emisor. El certificado puede desbloquear correctamente la "clave del emisor" del certificado del servidor "Firma digital", si el nombre de dominio en el certificado del servidor coincide con el nombre de dominio real del servidor. Si la verificación de legalidad falla, se desconectará la comunicación; si la verificación de legalidad pasa, se continuará con el cuarto paso. ④ El cliente genera aleatoriamente una "contraseña simétrica" ​​para la comunicación posterior, luego la cifra con la clave pública del servidor (la clave pública del servidor se obtiene del certificado del servidor en el paso ②) y luego cifra la "contraseña" de la "clave maestra previa". se pasa al servidor. ⑤ Si el servidor requiere la autenticación de identidad del cliente (opcional durante el proceso de protocolo de enlace), el usuario puede crear un número aleatorio y luego realizar una firma de datos en él, y combinar este número aleatorio firmado con el propio certificado del cliente y el "pre-encriptado". La "Contraseña" maestra se pasa al servidor juntos. ⑥ Si el servidor requiere la autenticación de identidad del cliente, el servidor debe verificar la legalidad del certificado del cliente y el número aleatorio de firma. El proceso de verificación de legalidad específico incluye: si la fecha de uso del certificado del cliente es válida y si la CA que proporciona al cliente el. El certificado es confiable y la CA emisora. Si la clave pública puede descifrar correctamente la firma digital de la CA emisora ​​del certificado del cliente, verifique si el certificado del cliente está en la Lista de revocación de certificados (CRL). Si la verificación falla, la comunicación se interrumpe inmediatamente; si la verificación pasa, el servidor utilizará su propia clave privada para descifrar la "contraseña maestra previa" cifrada y luego realizará una serie de pasos para generar la contraseña de comunicación maestra (la el cliente también la generará mediante el mismo método (la misma contraseña maestra de comunicaciones).

⑦ El servidor y el cliente utilizan la misma contraseña maestra, que es la "contraseña de llamada". Se utiliza una clave simétrica para cifrar y descifrar la comunicación segura de datos en el protocolo SSL. Al mismo tiempo, la integridad de la comunicación de datos debe completarse durante el proceso de comunicación SSL para evitar cualquier cambio en la comunicación de datos. ⑧El cliente envía un mensaje al servidor, indicando que la contraseña maestra en el paso ⑦ se utilizará en comunicaciones de datos posteriores como una clave simétrica y notifica al servidor que el proceso de protocolo de enlace del cliente está completo. ⑨ El servidor envía un mensaje al cliente, indicando que la contraseña maestra en el paso ⑦ se utilizará en comunicaciones de datos posteriores como una clave simétrica y notifica al cliente que el proceso de protocolo de enlace del lado del servidor está completo. ⑩ La parte del protocolo de enlace de SSL finaliza y comienza la comunicación de datos del canal seguro SSL. El cliente y el servidor comienzan a utilizar la misma clave simétrica para la comunicación de datos y, al mismo tiempo, se verifica la integridad de la comunicación. La principal responsabilidad del centro CA es emitir y gestionar certificados digitales. Su tarea central es emitir certificados digitales y cumplir con la responsabilidad de autenticación de la identidad del usuario. El centro de CA requiere políticas y procedimientos muy estrictos en términos de descentralización de la responsabilidad de seguridad, gestión de la seguridad operativa, seguridad del sistema, seguridad física, seguridad de la base de datos, seguridad del personal, gestión de claves, etc., y debe tener un mecanismo de seguridad completo. Además, debe haber medidas de implementación completas, como auditoría de seguridad, monitoreo de operaciones, recuperación y respaldo ante desastres, y respuesta rápida a incidentes. También debe haber un fuerte soporte de herramientas para la autenticación de identidad, el control de acceso, los aspectos antivirus y antiataques. El departamento comercial de aprobación de certificados del centro de CA es responsable de revisar las calificaciones de los solicitantes de certificados y decidir si aceptan emitir certificados a los solicitantes. También es responsable de todos los costos causados ​​por errores de auditoría y la emisión de certificados a solicitantes de certificados no calificados. Por lo tanto, debería ser responsabilidad de una organización que pueda asumir estas responsabilidades; el Procesador de Certificados (Procesador de Certificados, CP) es responsable de producir, emitir y gestionar los certificados para los solicitantes autorizados, y es responsable de cualquier pérdida causada por operaciones. errores Todas las consecuencias, incluida la confidencialidad y la emisión de certificados a personas no autorizadas, pueden ser asumidas por el propio departamento comercial de auditoría o confiarse a un tercero. (6) ¿Qué aspectos de la administración de certificados de CA incluyen? Los administradores de administración de políticas de CA pueden especificar políticas de administración de CA, que incluyen: certificado raíz, certificado personal, certificado empresarial, longitud de la clave del certificado del servidor, período de validez, si se debe realizar una copia de seguridad y otras políticas. (7) Dibuje un diagrama para ilustrar el proceso de solicitud del certificado de CA. (8) ¿Cuál es el propósito de exportar certificados para los usuarios que solicitan certificados de CA? Introduzca brevemente los pasos de la operación de exportación. 1. Cuando falla la recuperación ordinaria, el agente de recuperación de datos necesita utilizar una clave de recuperación de datos para permitir que el agente recupere datos cifrados. . Por tanto, es muy importante proteger la clave de recuperación. Una buena forma de evitar la pérdida de claves de recuperación es importarlas a su computadora local solo cuando sea necesario. En otras ocasiones, debe exportar el certificado de recuperación de datos y la clave privada del agente de recuperación de datos y almacenarlos en un archivo de formato .pfx en un medio extraíble seguro. 2 pasos El primer paso es exportar el certificado desde IE. Haga clic en "Herramientas" en el menú de IE, abra el cuadro de diálogo "Opciones de Internet", seleccione la página "Contenido", haga clic en "Certificado", aparecerá el cuadro de diálogo "Certificado", seleccione el certificado que desea exportar y luego seleccione la operación "Exportar". Puede completar la exportación del certificado de acuerdo con la operación "Asistente para exportación de certificados". Tenga en cuenta que el segundo paso del "Asistente para exportación de certificados" le preguntará "¿Desea exportar la clave privada?". , seleccione "Sí, exportar la clave privada". Después de exportar correctamente el certificado, obtendrá un archivo que termina en ".pfx". El segundo paso es importar el certificado a Webmail. Seleccione "Información personal" en el marco izquierdo de Webmail y luego haga clic en "Establecer certificado personal" en el marco derecho. Haga clic en "Importar certificado", en el cuadro de diálogo "Cargar certificado", busque el archivo ".pfx" que exportó en el primer paso, haga clic en "Siguiente" e ingrese la "Exportación de certificado" que exportó en el primer paso. El paso "Asistente" requiere que ingrese la contraseña de protección de clave secreta. Puede seleccionar "Guardar contraseña" para que no necesite ingresar la contraseña cuando vea correos electrónicos cifrados en el futuro. Si tiene éxito, Webmail mostrará información breve sobre el certificado. Con un certificado personal, puedes enviar cartas con tu firma digital.