什么是浏览器证书 ?

发布网友 发布时间：2022-03-22 20:02

我来回答

共3个回答

热心网友 时间：2022-03-22 21:31

证书是验证身份的标志,有数字证书相当于有了一个认证标志,很多网站都有数字认证,像淘宝,现金交易时候就会有一个数字证书的验证
1.数字证书基本功能
数字证书，是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息完整性和行为的不可抵赖；加密证书主要用于对用户传送信息进行加密，以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。

身份认证
在各应用系统中，常常需要完成对使用者的身份认证，以确定谁在使用系统，可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系，其中，利用数字证书完成身份认证是其中最安全有效的一种技术手段。

利用数字证书完成身份认证，被认证方（甲）必须先到相关数字证书运营机构申请数字证书，然后才能向应用系统认证方（乙）提交证书，完成身份认证。
通常，使用数字证书的身份认证流程如下图所示：

被认证方（甲），使用自己的签名私钥，对随机数进行加密；

被认证方（甲）将自己的签名证书和密文发送给认证方（乙）；

乙验证甲所提供的签名证书的有效期、证书链，并完成黑名单检查，失败则放弃；

有效期、证书链和黑名单验证通过后，乙即使用甲的签名证书对甲所提供的密文进行解密，成功则表明可以接受由甲提交的签名证书所申明的身份。

在上述流程中，步骤3描述的是对证书本身的验证，依次分别验证有效期、证书链和黑名单，某个步骤如果验证失败，则验证流程立即终止，不必再执行下一个验证。同时，有效期、证书链和黑名单的依次验证顺序是最合理的顺序，能够让验证流程达到最佳性能。

通过步骤3的验证后，甲所提交的证书可以得到验证，但这与甲本身是否和该证书所申明的实体相等没有必然联系，甲必须表明其是这个签名证书对应的唯一私钥的拥有者。因此，当步骤4执行成功后，即该签名证书能够解密，则说明甲拥有该私钥，从而完成了对甲所申明身份的认证。

上面具体描述的是单向认证，即只有乙认证甲的身份，而甲没有认证乙的身份。单向认证不是完善的安全措施，诚实可信的用户甲可能会碰到类似“钓鱼网站”的欺骗。因此在需要高度安全的应用环境中，还需要实现双向认证。即乙也需要向甲提供其签名证书，由甲来完成上述验证流程，以确认乙的身份。如下图。

数字签名
数字签名是数字证书的重要应用功能之一，所谓数字签名是指证书用户（甲）用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者（乙）使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要，并对收到的原始数据采用相同的杂凑算法计算其消息摘要，将二者进行对比，即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护，和传送数据行为不可抵赖性的保护。

使用数字证书完成数字签名功能，需要向相关数字证书运营机构申请具备数字签名功能的数字证书，然后才能在业务过程中使用数字证书的签名功能。

通常，使用数字证书的签名和验证数字证书签名的流程如图所示：

签名发送方（甲）对需要发送的明文使用杂凑算法，计算摘要；

甲使用其签名私钥对摘要进行加密，得到密文；

甲将密文、明文和签名证书发送给签名验证方乙；

乙一方面将甲发送的密文通过甲的签名证书解密得到摘要，另一方面将明文采用相同的杂凑算法计算出摘要；

乙对比两个摘要，如果相同，则可以确认明文在传输过程中没有被更改，并且信息是由证书所申明身份的实体发送的。

如果需要确认甲的身份是否和证书所申明的身份一致，则需要执行身份认证过程，如前一节所述。

在上述流程中，签名私钥配合杂凑算法的使用，可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为，提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认，需要通过身份认证过程明确。

数字信封
数字信封是数字证书另一个重要应用功能，其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。

数字信封中采用了对称密码机制和公钥密码机制。信息发送者（甲）首先利用随机产生的对称密钥对信息进行加密，再利用接收方（乙）的公钥加密对称密钥，被公钥加密后的对称密钥被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密钥，才能利用对称密钥解密所得到的信息。通过数字信封可以指定数据接收者，并保证数据传递过程的机密性。

使用数字证书完成数字信封功能，需要向相关数字证书运营机构申请具备加密功能的数字证书，然后才能在业务过程中使用数字证书的数字信封功能。

通常，数字信封和数字信封拆解的流程如图所示：

信息发送方（甲）生成对称密钥；

甲使用对称密钥对需要发送的信息执行加密，得到密文；

甲使用信息接收方（乙）的加密证书中的公钥，加密对称密钥，得到数字信封；

甲将密文和数字信封发送给乙；

乙使用自己的加密私钥拆解数字信封，得到对称密钥；

乙使用对称密钥解密密文，得到明文。

在上述流程中，信息发送方（甲）对用于加密明文信息的对称密钥使用接收方（乙）的加密证书进行加密得到数字信封，利用私钥的唯一性保证只有拥有对应私钥的乙才能拆解数字信封，从而阅读明文信息。据此，甲可以确认只有乙才能阅读信息，乙可以确认信息在传递过程中保持机密。

热心网友 时间：2022-03-22 22:49

浏览器证书导出（备份）流程
浏览器证书下载以后，一般需要将其导出成文件来备份，以备在不同的机器上使用时再次安装。一般情况下，刚下载的浏览器证书是允许被导出的，因此，为了安全起见，建议您初次下载成功浏览器证书后，立即将其导出，然后从IE中删除该证书，再利用备份的证书重新导入，您在导入时请注意：如果不勾选“私钥标记成可导出”选项，该证书就不能被再次导出了（推荐不勾选）。

第一步：
打开IE浏览器的“工具”，选择“Internet选项”，选择“内容”选项卡，点击“证书”按钮。打开证书管理器窗口
第二步：
在证书列表中，根据您的客户号找到对应的证书。例如，我的客户号是03000042529，在列表中找到自己的证书，号码是03000042529.0000.0000。选中该证书，然后选择“导出”，启动证书导出向导
1、点击“下一步”，系统提示是否将私钥导出，选择导出私钥，点击“下一步”
注意：如果您要将证书进行备份，请确定选择“导出私钥”，否则您导出的证书将是不完整的（因为不含私钥）。
2、选择保存文件格式为“私人信息交换”，并根据需要选择相应选项（推荐使用默认选项），然后点击“下一步”：
3、系统将提示您输入备份证书文件的保护口令（无位数*），该口令在您恢复（下次导入）证书时必须使用，您一定要牢记。然后点击下一步
4、系统提示备份的文件名，请输入文件名来保存该证书，后缀为.pfx。系统默认保存路径为桌面，您也可通过点击“浏览”选择保存路径。点击“下一步”：
5、选择“完成”，如果您的证书设置有登录密码，您还需要输入登录密码：
第三步：
通过资源管理器在文件系统中查看导出的证书文件，建议将其妥善保存到自己的移动存储设备中保管，避免被他人复制。

热心网友 时间：2022-03-23 00:24

浏览器中，可任意备份证书和私钥。客户端不需要安装驱动程序，且无需证书成本。