SSL和数字证书服务慨述

什么是SSL?­

SSL是指安全套接层协议层（以及传输层协议TLS）是目前使用最广泛的安全协议。  它为通过互联网或内部网络连接，进行操作的两台机器之间，提供安全的通道。  当浏览器需要通过不可靠的互联网，与服务器安全地连接时，我们通常可以看到SSL技术被使用于其中。­

要更多了解什么是SSL，需要从技术上来说。SSL是一种传输协议，当传输双方建立安全传输时，它很少需要终端用户进行其他操作。  ­

以浏览器为例，用户通过浏览器显示出的小锁图标，可得知目前正使用SSL传输，如果使用了更先进的EV SSL，那么除了显示小锁图标­

以外，浏览器的地址栏也会变成绿色。  这就是SSL成功的关键——对于终端用户，这是一种超乎想象的简单体验。 ­

实际中，SSL如何在现代化的商业里得到应用呢？­

如信用卡交易等网络通信。  仅仅在2006年中，就有210,000,000用户，通过个人电脑、手提电脑、PDA以及移动电话，在线支付超过$130,000,000,000美元。 应该使用SSL来保护每一笔此类交易！！ ­

其他网络通信，如登陆页面、网页表单、网络邮件、控制面板或其他需要保护的网站页面区域。 ­

通过https和FTP服务进行文件转移，如网站站主对其网站进行页面的更新。 ­

电子邮件客户端程序与邮件服务器间的连接，如Microsoft Outlook与Microsoft Exchange之间。 ­

基于通信的内部网络，如企业内部网、外延网以及数据库连接。 ­

所有这些应用，都具有一些共同的特性：­

通过互联网或网络传输的数据，具有机密性，换而言之，人们不希望将他们的信用卡详细信息暴露在网络上。 ­

数据必须保持完整，也就是说，一旦发送了信用卡详细信息和扣除费用总和，黑客无法在中间环节更改费用总和及资金流向。 ­

您的组织或企业必须向您的客户或外网使用者担保，您确实是您本人，而不是伪装成您的其他人。 ­

您的组织或企业必须遵守有关数据保密和安全诚信的地区、国家、及全球性规则。­

数字签名­

      数字签名是数字证书的基本应用之一。数字签名的基本过程是：信息发送者先对原始数据进行杂凑运算得到消息摘要，再使用自己的签名私钥对消息摘要进行加密运算。验证签名的基本过程则是信息接收者对收到的原始数据采用相同的杂凑运算得到消息摘要，将­

两者进行对比，以校验原始数据是否被篡改。通过数字签名技术可以实现对数据完整性、以及传送数据行为不可否认性的保护。­

       使用数字证书实现数字签名应用前，首先需要向相关数字证书运营机构，如GlobalSign，申请具备数字签名功能的数字证书，­

然后才能在业务过程中实现数字证书的签名应用。­

通常，使用数字证书进行签名以及验证签名的步骤如下：­

1） 签名发送方（甲）对需要发送的明文使用杂凑算法，计算摘要；­

2） 甲使用其签名私钥对摘要进行加密，得到密文；­

3） 甲将密文、明文和签名证书发送给签名验证方（乙）；­

4） 乙方验证签名证书的有效性，并一方面将甲发送的密文通过甲的签名证书解密得到摘要，另一方面将明文相同的杂凑算法计算出摘要；­

5） 乙对比两个摘要，如果相同，则可以确认明文在传输过程中没有被更改，并且信息是由证书所申明身份的实体发送的。­

       签名私钥配合杂凑算法的使用，可以完成数字签名功能。而对数字证书和签名发送方的身份的确认，就需要通过CA对其身份认­

证进行验证。 ­

­

数字签名证书和SSL证书的区别？­

­

比如说软件安装，为了安全，一般的要求安装的软件都有开发商签名，但是世界上的软件开发商数不胜数，而且几乎天天都有的新成立的，如果每一个人的计算机都维护全球的软件提供商的数字签名公钥是不合实际的。应该要有一些公众信任的公证机构来维护这些公钥数据。因此用户的计算机只需保留这些公正机构的公钥就可以放心安装很多软件了。­

当你安装软件时，软件可能附带有一个数字签名（或hash数字等)和证书，该证书假设由A机构出具，表示A对于签名或hash数字认证（即不是伪造的）。当然，该证书本身就是一个数字签名，但是你的计算机保留了该公正机构A的公钥，你当然可以验证证书是否伪造的，如果证书是真的，那么你也可以假设签名是真的，然后你可以（对软件）验证签名了，如果签名验证通过， 你也可以比较放心地安装和使用软件了。 当然，现实世界的证书和实际应用要复杂的多，有最高级的(根的）公证机构开具的证书，通常用于对其他较低级的公正机构进行公正，而那些相对低级的公证机构又对众多的签名进行公正。还有用于延续证书有效期的证书... 至于采用什么加密算法，一般由签名文件或证书文件本身自描述的（自己说明自己采用什么算法、密钥长度等信息，当然这些算法应该是符合标准的）。­

­