公钥证书的证书使用
因为证书通常用来为实现安全的信息交换建立身份并创建信任,所以证书颁发机构 (CA) 可以把证书颁发给人员、设备(例如计算机)和计算机上运行的服务(例如 IPSec)。
某些情况下,计算机必须能够在高度信任涉及交易的其他设备、服务或个人的身份的情况下进行信息交换。某些情况下,人们需要在高度信任涉及交易的其他设备、服务或个人的身份的情况下进行信息交换。运行在计算机上的应用程序和服务也频繁地需要确认它们正在访问的信息来自可信任的信息源。
当两个实体(例如设备、个人、应用程序或服务)试图建立身份和信任时,如果两个实体都信任相同的证书颁发机构,就能够在它们之间实现身份和信任的结合。一旦证书主题已呈现由受信任的 CA 所颁发的证书,那么,通过将证书主题的证书存储在它自己的证书存储区中,并且(如果适用)使用包含在证书中的公钥来加密会话密钥以便所有与证书主题随后进行的通讯都是安全的,试图建立信任的实体就可以继续进行信息交换,。
例如,使用 Internet 进行联机银行业务时,知道您的 Web 浏览器正在与银行的 Web 服务器直接和安全地通讯就是很重要的。在发生安全的交易之前,您的 Web 浏览器必须能够签定 Web 服务器的身份。就是说,进行交易之前,Web 服务器必须能够向您的 Web 浏览器证明它的身份。Microsoft Internet Explorer 使用安全套接字层 (SSL) 来加密消息并在 Internet 上安全地传输它们,而大多数其他新式 Web 浏览器和 Web 服务器也使用该技术。
当您使用启用 SSL 的浏览器连接到联机银行的 Web 服务器时,如果该服务器拥有证书颁发机构(例如 Verisign)颁发的服务器证书,那么将发生如下事件:
您使用 Web 浏览器访问银行的安全联机银行登录网页。如果使用的是 Internet Explorer,一个锁形图标将出现在浏览器状态栏的右下角,以表示浏览器连接到的是安全 Web 站点。其他浏览器以其他方式表示安全连接。
银行的 Web 服务器将服务器证书自动地发送到您的 Web 浏览器。
为了验证 Web 服务器的身份,您的 Web 浏览器将检查您计算机中的证书存储区。如果向银行颁发证书的证书颁发机构是可信任的,则交易可以继续,并且将把银行证书存储在您的证书存储区中。
要加密与银行 Web 服务器的所有通讯,您的 Web 浏览器可创建唯一的会话密钥。您的 Web 浏览器用银行 Web 服务器证书来加密该会话密钥,以便只有银行 Web 服务器可以读取您的浏览器所发送的消息。(这些消息中的一部分将包含您的登录名和密码以及其他敏感信息,所以该等级的安全性是必需的。)
建立安全会话,并且在您的 Web 浏览器和银行的 Web 服务器之间以安全方式发送敏感信息。
详细信息,请参阅证书安全性
当您将软件代码从 Internet 下载、从公司 intranet 上安装、或者购买光盘并安装在计算机上时,还可以用证书来确认在这些软件代码的真实性。无签名软件(没有有效的软件发布商证书的软件)可以威胁到计算机和存储在计算机上的信息。
如果用信任的证书颁发机构所颁发的有效证书对软件进行了签名,您就知道软件代码没有被篡改,可以安全安装在计算机上。在软件安装期间,系统会提示您确认是否信任软件制造商(例如,Microsoft Corporation)。您还可以看到其他选项,问您是否始终信任来自特定软件制造商的软件内容。如果您选择信任该制造商的内容,那么他们的证书将存入您的证书存储区,并且它们的其他软件产品就可以在预定义的信任环境下安装到您的计算机。在预定义信任的环境中,您可以安装制造商的软件,而不会被提示是否信任它们,因为您的计算机上的证书已声明您信任该软件的制造商。
与其他证书一样,这些用来确认软件真实性和软件发布商身份的证书可还以用于其他目的。例如,如果把“证书”管理单元设置为按目的查看证书,则“代码签名”文件夹可能包含由 Microsoft Root Authority 颁发给 Microsoft Windows Hardware Compatibility 的证书。这个证书有三个目的:
确保软件来自该软件发布商
保护软件在发布之后不发生改变
提供 Windows 硬件驱动程序确认
