什么是數字簽名證書？證書如何生成？

在這個網絡信息時代，各類信息滿天飛，信息安全的重要性和必要性成為了人們關注的要點。信息安全有三個問題待解決：一是信息的保密性，即指信息在傳輸過程中不被泄密；二是信息的完整性，信息在傳輸過程中不被篡改；三是信息的有效性，即信息的使用者合法。這三個要素又被稱為CIA Triad。

在日常生活中，個人簽名，手寫簽名用的很多，即類似于個人的一個身份信息確認。計算機中，數字簽名也是相同的含義：證明消息是某個特定的人，而不是隨隨便便一個人發送的（有效性）；除此之外，數字簽名還能證明消息沒有被篡改（完整性）。

其實簡單的說，數字簽名（digital signature）是公鑰密碼的逆應用：用私鑰加密消息，用公鑰解密消息。

什么是數字簽名證書？

數字簽名證書實際上就是對公鑰進行數字簽名，它是對公鑰合法性提供證明的技術。 

考慮這樣一種場景：我們對簽名進行驗證時，需要用到公鑰。如果公鑰也是偽造的，那怎么辦？如果公鑰是假的，驗證數字簽名那就無從談起，根本不可能從數字簽名確定對方的合法性。

這時候數字簽名證書就派上用場了。證書一般包含：公鑰（記住證書中是帶有公鑰的），公鑰的數字簽名，公鑰擁有者的信息。若數字簽名證書驗證成功，這表示該公鑰是合法，可信的。 

接下來又有問題了：驗證證書中的數字簽名需要另一個公鑰，那么這個公鑰的合法性又該如何保證？該問題可以無限循環下去，豈不是到不了頭了？這已經是個社會學問題了。我們為什么把錢存進銀行？因為我們相信銀行，它是一個可信的機構（雖然也有破產的風險）。跟銀行一樣，我們需要一個可信的機構來頒發證書和提供公鑰，只要是它提供的公鑰，我們就相信是合法的。

這種機構稱為認證機構(Certification Authority， CA)。CA就是能夠認定”公鑰確實屬于此人”，并能生成公鑰的數字簽名的組織或機構。CA有國際性組織和政府設立的組織，也有通過提供認證服務來盈利的組織。

如何生成數字簽名證書？

1.服務器將公鑰A給CA（公鑰是服務器的）

2.CA用自己的私鑰B給公鑰A加密，生成數字簽名A

3.CA把公鑰A，數字簽名A，附加一些服務器信息整合在一起，生成證書，發回給服務器。

注：私鑰B是用于加密公鑰A的，私鑰B和公鑰A并不是配對的。

如何驗證數字簽名證書？

1. 客戶端得到證書

2. 客戶端得到證書的公鑰B（通過CA或其它途徑）

3. 客戶端用公鑰B對證書中的數字簽名解密，得到哈希值

4. 客戶端對公鑰進行哈希值計算

5. 兩個哈希值對比，如果相同，則證書合法。

注：公鑰B和上述的私鑰B是配對的，分別用于對證書的驗證（解密）和生成（加密）。