CA 简介

easy

无论是电子邮件保护还是 SSL 网站的安全连接，都必须申请证书，才可以使用公钥与私钥来执行数据加密与身份验证的工作。负责发放证书的机构就是 CA (证书颁发机构，Certification Authority)。

在《PKI简述(公钥加密与公钥验证) 》里谈到了公钥与私钥，那么这组密钥死如何生成的呢？在申请证书时，需要输入姓名、地址与电子邮件等数据，这些数据被发送到一个称为 CSP (cryptographic service provider，密码学服务提供者)的程序，此程序应已经被安装在申请者的计算机内或此计算机可以访问的设备内。

CSP 会自动创建一对密钥：公钥和私钥。 CSP 会将私钥存储到申请者计算机的注册表中，然后将证书申请数据与公钥一起发送到 CA 。CA 检查这些数据无误后，会利用自己的私钥将要发放的证书签名，然后发放此证书。申请者收到证书后，就将证书安装到他的计算机。

证书内包含了证书的发放对象（用户或计算机），证书的有效期限，发放此证书的 CA 以及 CA 的数字签名（类似于驾驶证上的交通局的盖章），还有申请者的姓名，地址，电子邮件地址，公钥等数据。

在 PKI 架构下，当用户利用某 CA 发放的证书来发送一封签名的电子邮件时，接收方的计算机如果不信任此 CA 发放的证书，那么接收方的计算机就会认为该邮件有问题。又比如，在浏览需要 SSL 安全连接的网站时，客户端计算机也要信任发放 SSL 证书给此网站的 CA，否则浏览器会发出警告信息。

Windows 默认信任了一些知名的商业 CA，你可以在“运行”里输入 certmgr.msc 命令，或者从 IE 的 “Internet 选项” ---> “内容标签” ---> “证书” 里看到相应的 CA 信息。你可以向那些商业 CA 申请证书，如 VeriSign，但对于个人来说，这完全不需要。如果是公司，而你希望各分公司、企业合作伙伴，供应商以及客户之间能够安全地通过互联网发送数据，那么可以不用向上述商业 CA 申请证书，你可以利用 Windows Server 2008 R2 的 Active Directory 证书服务(Active Directory Certificate Services，AD CS) 来自行架设 CA，然后利用此 CA 来发放证书给员工、客户以及供应商等，并让他们的计算机来信任此 CA。这种情况你如果使用过 12306 购买火车票，那么你就会比较熟悉了，在购票之前，它会让你安装铁道部的根证书。

实际上，虽然名为 AD CS，但即使没有 Active Directory 域环境，还是可以通过它来提供 CA 服务的。

关于 CA 的更多信息，可以参考另一篇帖子：《数字证书,根证书等概念图文解说》。