ca证书和服务器证书区别

一般的CA证书，可以直接在WINDOWS上生成。通过点对点原理，实现数据的传输加密和身份核实功能。CA服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球webTrust证书联盟的备份和核实后，生成的CA证书。网站能在IE浏览器上直接显示“安全锁”，和显示证书信息。高级的版本能在浏览器地址栏变绿色，是目前全球最有效果的身份核实、信息加密工具。 CA证书的生成简单免费，而CA服务器证书成本较高，一般在5000-20000元/年，所以需要此服务的企业或机构以金融类行业为首。如果企业需要CA服务器证书来杜绝钓鱼网站的侵害，可以选择安信保认证标识，它集成了服务器证书服务。是目前看到最便宜的了，比较适合企业使用。

公钥证书与证书机构

名词解释

1，数字认证：是指用数字办证确认，鉴定，认证网络上参与信息交流者或服务器的身份。

2，公钥证书：它将公开密钥与特定的人，器件或其他实体联系起来。公钥证书是由证书机构签署的，其中包含有持证者的确切身份。

3,公钥数字证书：网络上的证明文件，证明双钥体制中的公钥所有者就是证书上所记录的使用者。

4，单公钥证书：一个系统中所有的用户的互相认证。

5，多公钥证书：用于不有证书的用户的相互认证。

6，客户证书：证明客户身份和密钥所有权。

7，服务器证书：证实服务器的身份和公钥。

8，安全邮件证书：证实电子邮件用户的身份和公钥。

9，CA证书：证实CA身份和CA的签名密钥。

10，证书机构CA用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。

11，安全服务器：面向普通用户，用于提供证书的申请，浏览，证书吊销表以及证书下载等安全服务。

12，CA服务器：是整个证书机构的核心，负责证书的签发。

13，LDAP服务器：提供目录浏览服务，负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。

14，数据库服务：是认证机构的核心部分，用于认证机构数据，日志和统计信息的存储和管理。

15，公钥用户需要知道公钥的实体为公钥用户。

16，证书更新当证书持有者的证书过期，证书被窃取，受到攻击时通过更新证书的方法，使其用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。

简答题：

1，有效证书应满足的条件有哪些？

答：（1）证书没有超过有效期。（2）密钥没有被修改。如果密钥被修改后，原证书就应当收回，不再使用。如果雇员离开了其公司，对应的证书就可收回，如果不收回，且密钥没被修改，则可继续使用该证书；（3）证书不在CA发行的无效证书清单中。CA负责回收证书，并发行无效证书清单。用户一旦发现密钥泄露就应及时将证书吊销。并由CA通知停用并存档备案。

2，密钥对生成的两种途径是什么？

答：（1）密钥对持有者自己生成：用户自己用硬件或软件生成密钥对。如果该密钥对用于数字签名时，应支持不可否认性。（2）密钥对由通用系统生成：由用户依赖，可信赖的某一中心机构生成，然后安全地送到特定用户的设备中。利用这类中心的资源，可产生高质量密钥对，易于备份和管理。

3，证书有哪些类型？

答：（1）个人证书：证实客户身份和密钥所有权。在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请，经审查后获得个人证书。

（2）服务器证书：证实服务器的身份和公钥。当客户请求建立SSL连接时，服务器把服务器证书传给客户。客户收到证书后，可以检查发行该证书的CA是否应该信任。对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。

（3）邮件证书：证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。

（4）CA证书：证实CA身份和CA的签名密钥。在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。CA证书允许CA发行其他类型的证书。

4，如何对密钥进行安全保护？

答：密钥按算法产生后，首先将私钥送给用户，如需备份，应保证安全性，将公钥送给CA，用以生成相应证书，

为了防止未授权用户对密钥的访问，应将密钥存入防窜扰硬件或卡中，或加密后存入计算机的文件中。

此处，定期更换密码对是保证安全的重要措施。

5，CA认证申请者的身份后，生成证书的步骤有哪些？

答：（1）CA检索所需的证书内容信息；（2）CA证实这些信息的正确性；（3）回CA用其签名密钥对证书签名；（4）将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；（5）CA将证书送入证书数据库，向公用检索业务机构颂；（6）通常，CA将证书存档；（7）CA将证书生成过程中的一些细节记入审记记录中。

6，公钥证书的基本作用？

答：将公钥与个人的身份，个人信息件或其他实体的有关身份信息联系起来，在用公钥证实数字签名时，在确信签名之前，有时还需要有关签名人的其他信息，特别是要知道签名者是否已被授权为对某特定目的的签名人。

授权信息的分配也需用证书实现，可以通过发放证书宣布某人或实体具有特定权限或权威，使别人可以鉴别和承认。

7，双钥密码体制加密为什么可以保证数据的机密性？

答：双钥密码体制加密时有一对公钥和私钥，公钥可以公开，私钥由持有者保存，公钥加密过的数据中有持有者的私钥能解开，这样就保证了数据的机密性。经私钥加密过的数据——数字签名可被所具有公钥的人解开，由于私钥只有持有者一人保存，就样就证明信息发自私钥持有者，具有不可否认证和完整性。

SSL和CA两者之间的区别：

SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

CA认证，是指为电子签名相关各方提供真实性、可靠性验证的活动，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

大家在选择SSL证书肯定看到过CA字眼，简单来说，CA是数字证书管理机构，SSL证书是数字证书的一种，CA机构签发SSL证书。可以说，SSL是CA颁发的证书中的一种。

某种意义上说，CA证书=SSL证书。

但是从另外一方面来说，SSL证书与CA证书又有所不同：

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为服务器证书。

而CA机构除了可以颁发SSL证书之外，还可以颁发其他数字证书，比如：代码签名证书和电子邮件证书等等。所以说，CA机构所管辖的范围要大于SSL证书的范围。

总结：

CA是证书颁发机构，由CA机构颁发的证书都可以成为CA证书，SSL证书只是CA机构颁发证书的其中一种。

---