1. 程式人生 > >數字證書有效性驗證

數字證書有效性驗證

數字證書的有效性驗證主要從三個方面: 1,數字證書有效期驗證                                                                   2,根證書驗證                                                                   3,CRL驗證 下面依次講解這三塊內容 1,數字證書有效期驗證       就是說證書的使用時間要在起始時間和結束時間之內。通過解析證書很容易得到證書的有效期 2,根證書驗證      先來理解一下什麼是根證書?      普通的證書一般包括三部分:使用者資訊,使用者公鑰,以及CA簽名
     那麼我們要驗證這張證書就需要驗證CA簽名的真偽。那麼就需要CA公鑰。而CA公鑰存在於另外一張證書(稱這張證書是對普通證書籤名的證書)中。因此我們又需要驗證這另外一張證書的真偽。因此又需要驗證另另外證書(稱這張證書是對另外一張證書籤名的證書)的真偽。依次往下回溯,就得到一條證書鏈。那麼這張證書鏈從哪裡結束呢?就是在根證書結束(即驗證到根證書結束)。根證書是個很特別的證書,它是CA中心自己給自己簽名的證書(即這張證書是用CA公鑰對這張證書進行簽名)。信任這張證書,就代表信任這張證書下的證書鏈。     所有使用者在使用自己的證書之前必須先下載根證書。     所謂根證書驗證就是:用根證書公鑰來驗證該證書的頒發者簽名。所以首先必須要有根證書,並且根證書必須在受信任的證書列表(即信任域)。
3,CRL驗證      CRL是經過CA簽名的證書作廢列表,用於證書凍結和撤銷。一般來說證書中有CRL地址,供HTTP或者LDAP方式訪問,通過解析可得到CRL地址,然後下載CRL進行驗證。      並且證書中有CRL生效日期以及下次更新的日期,因此CRL是自動更新的,因此會有延遲性。      於是呢,還有另外一種方式OSCP證書狀態線上查詢,可以即時的查詢證書狀態。 兩種證書狀態查詢方式的比較: 完!