企业和用户关于隐私数据博弈的均衡点

• 在自己的服务器上生成一对公钥和私钥。然后将域名、申请者、公钥(注意不是私钥，私钥是无论如何也不能泄露的)等其他信息整合在一起，生成.csr 文件。
• 将这个 .csr 文件发给 CA 机构，CA 机构收到申请后，会通过各种手段验证申请者的组织信息和个人信息，如无异常(组织存在，企业合法，确实是域名的拥有者)，CA 就会使用散列算法对.csr里的明文信息先做一个HASH，得到一个信息摘要，再用 CA 自己的私钥对这个信息摘要进行加密，生成一串密文，密文即是所说的 签名。签名 + .csr 明文信息，即是 证书。CA 把这个证书返回给申请人。

3. 数字证书(Certificate)

在HTTPS的传输过程中，有一个非常关键的角色--数字证书，那什么是数字证书?又有什么作用呢?

所谓数字证书，是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章)，表示CA结构对证书持有者的认可。

(1) 数字证书拥有以下几个优点

• 使用数字证书能够提高用户的可信度;
• 数字证书中的公钥，能够与服务端的私钥配对使用，实现数据传输过程中的加密和解密;
• 在认证使用者身份期间，使用者的敏感个人数据并不会被传输至证书持有者的网络系统上;

(2) 证书类型

x509的证书编码格式有两种：

PEM(Privacy-enhanced Electronic Mail)是明文格式的,以 -----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----结尾。中间是经过base64编码的内容,apache需要的证书就是这类编码的证书.查看这类证书的信息的命令为: openssl x509 -noout -text -in server.pem。其实PEM就是把DER的内容进行了一次base64编码

DER是二进制格式的证书，查看这类证书的信息的命令为: openssl x509 -noout -text -inform der -in server.der

(3) 扩展名

• .crt证书文件,可以是DER(二进制)编码的，也可以是PEM(ASCII (Base64))编码的),在类unix系统中比较常见;
• .cer也是证书，常见于Windows系统。编码类型同样可以是DER或者PEM的，windows下有工具可以转换crt到cer;
• .csr证书签名请求文件，一般是生成请求以后发送给CA，然后CA会给您签名并发回证书
• .key一般公钥或者密钥都会用这种扩展名，可以是DER编码的或者是PEM编码的。查看DER编码的(公钥或者密钥)的文件的命令为: openssl rsa -inform DER -noout -text -in xxx.key。查看PEM编码的(公钥或者密钥)的文件的命令为: openssl rsa -inform PEM -noout -text -in xxx.key;
• .p12证书文件,包含一个X509证书和一个被密码保护的私钥

(4) 证书的种类

安全证书主要分为DV、OV和EV三个种类，对应的安全等级为一般、较好和最高三个等级。三者的审核过程、审核标准和对应的域名数量也不同，所以价格在一两百元到几万元不等。

DV SSL：

DV SSL证书是只验证网站域名所有权的简易型(Class 1级)SSL证书，可10分钟快速颁发，能起到加密传输的作用，但无法向用户证明网站的真实身份。

目前市面上的免费证书都是这个类型的，只是提供了对数据的加密，但是对提供证书的个人和机构的身份不做验证。

OV SSL：

OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信×××明。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!