說說證書——證書構成和常見三要素

        證書通常是一個幾K的小文件，使用二進制或者一定編碼的文本（例如Base64）等保存有關公私鑰和相應的信息。

        那么證書里面包含哪些信息呢？

        簡單來說有這些信息：

?Version number

證書版本

?Serial number

證書序列號

?Signature algorithm ID

簽名方式ID

?Issuer name

簽發者

?Validity period

有效期.

?Subject name

主題名，通常是人、組織或者Web/應用服務器等.

?Subject public key information

主題公鑰信息.

?Issuer unique identifier

簽發者唯一標識.

?Subject unique identifier

主題唯一表示.

?Extensions

擴展，用于存儲額外信息，例如密鑰用法、別名等等.

?Signed hash of the certificate data

證書數據哈希HASH簽名，使用簽發這私鑰進行加密，可作為數字簽名.

當然，最關鍵的是證書的三要素：

1、信任的頒發者

2、有效期

3、名稱一致

否則，證書使用是就會遇到問題：

         為了避免這種問題，一般有兩種方式獲取證書：

         1、使用第三方證書。

         所謂第三方證書，就是專門提供證書服務的機構，按年收取證書費用，為用戶提供證書。由于這些機構的根CA往往隨設備或者設備上的操作系統提供，因此用戶無需手動去配置系統信任他們頒發的證書。

         對最終用戶，尤其是使用移動設備不方便導入證書的最終用戶而言很方便，缺點是有每年的費用。

         2、使用自建CA頒發證書。

         有很多免費的CA系統可以使用，例如Windows Server自帶的AD CS （AD證書服務）?？梢允褂肁D或者手動導入CA的證書，作為受信任的證書頒發機構，由此解決驗證機構不受信任的問題。

        對最終用戶而言，可能需要導入CA證書，存在一定技術難度。好處是不需要付出證書費用。