CA机构即证书签发机构,是负责签发证书、认证证书、管理已颁发证书的机关。
通过CA机构颁发的数字证书内含公钥和私钥,用于对互联网交流中的信息和数据进行加密解密、数字签名与认证。我们可以通俗地理解为这类数字证书是个人或企业在网络上的身份证。
要想获得数字证书,首先需要向CA机构申请,经过可信CA验证审核就可获得。在锐成平台上成功申请SSL数字证书,可以直接下载所申请的CA证书。如为网站域名申请的SSL证书,可下载不同服务器所需格式的证书文件包,如下图:支持Nginx服务器安装的SSL证书包含带.key后缀的私钥文件和带.crt后缀的公钥文件。
(SSL证书文件包)
除了证书文件包,当我们安装了真正的数字证书后才能看见证书实实在在的内容。正如我们常见的身份证一样,CA数字证书也包括颁发机构,有效期限,使用者等详细信息。打开一个带安全锁的网站,如racent.com,点击【证书有效】-详细信息,即可看到该网站部署SSL证书的内容。
(证书详细信息)
- 版本号(Version Number):规范的版本号,目前为版本3,值为0x2;
- 序列号(Serial Number):由CA维护的为它所发的每个证书分配的一个序列号,用来追踪和撤销证书。只要拥有签发者信息和序列号,就可以唯一标识一个证书;
- 签名算法(Signature Algorithm):该数字证书支持数字签名所采用的算法,如:sha256RSA。
- 颁发者(Issuer):就是CA颁发机构,是签发证书单位的标识信息,如上图CN = sslTrus (RSA) EV CA,O = sslTrus (上海锐成信息科技有限公司),C = CN。
- 有效期(Validity): 证书的有效期很,包括起止时间。
- 使用者(Subject): 证书拥有者的标识信息。如果使用的是OV或EV型证书,就可查看到企业信息,辨别公司真伪。
- 主体的公钥信息(Subject Public Key Info):所保护的公钥相关的信息。
- 使用者可选名称(Subject Alternative Name):即该证书保护的所有域名名称。
数字证书不仅可以对传输的信息进行加密保护,从上面证书内容还可以证实申请者的身份,并在数字签名中让身份得到可信认证。