數字簽名證書是什么？如何生成？

在網絡信息時代，人們越來越關注信息安全問題。如何保障信息在傳輸過程中不被泄密？如何保障信息在傳輸過程中不被篡改？如何驗證信息的使用者合法？毫無疑問，這三個問題的解決都需要通過技術手段來實現。今天我們要了解的就是其中一種——數字簽名證書。

數字簽名證書同手寫簽名有類似的功能，它們都是對個人身份信息的確認。但是，在互聯網世界，數字簽名還能確保信息的完整性，證明消息沒有被篡改。

數字簽名證書是什么？

數字簽名證書是對公鑰進行數字簽名，對公鑰合法性提供證明的技術。簡單來說，數字簽名（digital signature）是公鑰密碼的逆應用：用私鑰加密消息，用公鑰解密消息。

數字簽名證書如何發揮作用？我們通過以下場景來理解：

當我們對簽名進行驗證時，需要用到公鑰。如果公鑰是假的，則驗證無從談起。

數字簽名證書包含公鑰、公鑰的數字簽名、公鑰擁有者的信息。若數字簽名證書驗證成功，則表示該公鑰是合法可信的。

那么下面又有另一個問題：驗證證書中的數字簽名需要另一個公鑰，那這個公鑰的合法性又該如何保證？

這個時候就需要一個可信的機構來頒發證書和提供公鑰，只要是它提供的公鑰，我們就相信是合法的。

這種機構叫做認證機構(Certification Authority， CA)。CA分為國際性組織和政府設立的組織和通過提供認證服務來盈利的組織。CA能夠生成公鑰并認定“公鑰確實屬于此人”。

如何生成數字簽名證書？

1. 服務器將公鑰A給CA（公鑰是服務器的）

2. CA用自己的私鑰B給公鑰A加密，生成數字簽名A

3. CA把公鑰A，數字簽名A，附加一些服務器信息整合在一起，生成證書，發回給服務器。

注：私鑰B是用于加密公鑰A的，私鑰B和公鑰A并不是配對的。

如何驗證數字簽名證書？

1. 客戶端得到證書

2. 客戶端得到證書的公鑰B（通過CA或其它途徑）

3. 客戶端用公鑰B對證書中的數字簽名解密，得到哈希值

4. 客戶端對公鑰進行哈希值計算

5. 兩個哈希值對比，如果相同，則證書合法。

注：公鑰B和上述的私鑰B是配對的，分別用于對證書的驗證（解密）和生成（加密）。