歡迎來(lái)到東用知識(shí)小課堂！
CA證書(shū)，也是根證書(shū)，是最頂級(jí)的證書(shū)，也是CA認(rèn)證中心與用戶(hù)建立信任關(guān)系的基礎(chǔ)，用戶(hù)的數(shù)字證書(shū)必須有一個(gè)受信任的根證書(shū)，用戶(hù)的數(shù)字證書(shū)才是有效的。

1.CA認(rèn)證中心
所謂CA認(rèn)證中心，它是采用PKI（Public Key Infrastructure）公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù)，專(zhuān)門(mén)提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，CA可以是民間團(tuán)體，也可以是政府機(jī)構(gòu)。負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū)，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，它的作用就像我們現(xiàn)實(shí)生活中頒發(fā)證件的公司，如護(hù)照辦理機(jī)構(gòu)。目前國(guó)內(nèi)的CA認(rèn)證中心主要分為區(qū)域性CA認(rèn)證中心和行業(yè)性CA認(rèn)證中心。
2.證書(shū)信任鏈
證書(shū)直接是可以有信任關(guān)系的,通過(guò)一個(gè)證書(shū)可以證明另一個(gè)證書(shū)也是真實(shí)可信的.實(shí)際上，證書(shū)之間的信任關(guān)系，是可以嵌套的。比如，C信任A1，A1信任A2，A2信任A3…這個(gè)叫做證書(shū)的信任鏈。只要你信任鏈上的頭一個(gè)證書(shū)，那后續(xù)的證書(shū)，都是可以信任的。
處于最頂上的樹(shù)根位置的那個(gè)證書(shū)，就是“根證書(shū)”。除了根證書(shū)，其它證書(shū)都要依靠上一級(jí)的證書(shū)，來(lái)證明自己。那誰(shuí)來(lái)證明“根證書(shū)”可靠呢？實(shí)際上，根證書(shū)是自己證明自己是可靠的（或者換句話(huà)說(shuō)，根證書(shū)是不需要被證明的）。
你此刻應(yīng)該意識(shí)到了：根證書(shū)是整個(gè)證書(shū)體系安全的根本。所以，如果某個(gè)證書(shū)體系中，根證書(shū)出了問(wèn)題（不再可信了），那么所有被根證書(shū)所信任的其它證書(shū)，也就不再可信了。
接下來(lái)我們就以東用科技的上云助手軟件為例，來(lái)給大家詳細(xì)講解一下

3.證書(shū)的用處
1).驗(yàn)證網(wǎng)站是否可信（針對(duì)HTTPS）
通常，我們?nèi)绻L問(wèn)某些敏感的網(wǎng)頁(yè)（比如用戶(hù)登錄的頁(yè)面），其協(xié)議都會(huì)使用HTTPS而不是HTTP。因?yàn)镠TTP協(xié)議是明文的，一旦有壞人在偷窺你的網(wǎng)絡(luò)通訊，你的密碼、銀行帳號(hào)等網(wǎng)絡(luò)通訊內(nèi)容就會(huì)泄露出去;但是HTTPS是加密的協(xié)議，可以保證你的信息在傳輸過(guò)程中的安全。所以，HTTPS協(xié)議除了有加密的機(jī)制，還有一套證書(shū)機(jī)制。通過(guò)證書(shū)來(lái)確保某個(gè)站點(diǎn)的真實(shí)實(shí)體信息。
有了證書(shū)之后，當(dāng)你的瀏覽器在訪問(wèn)某個(gè)HTTPS網(wǎng)站時(shí)，會(huì)驗(yàn)證該站點(diǎn)上的CA證書(shū)。如果瀏覽器發(fā)現(xiàn)該證書(shū)沒(méi)有問(wèn)題，那么頁(yè)面就直接打開(kāi);否則的話(huà)，瀏覽器會(huì)給出一個(gè)警告，告訴你該網(wǎng)站的證書(shū)存在問(wèn)題，是否繼續(xù)訪問(wèn)該站點(diǎn)?
大多數(shù)知名的網(wǎng)站都會(huì)使用HTTPS協(xié)議，其證書(shū)都是可信的。如果你上某網(wǎng)站，發(fā)現(xiàn)瀏覽器跳出警告，一定要小心，這個(gè)網(wǎng)站可能是釣魚(yú)網(wǎng)站。
2).驗(yàn)證某文件是否可信（是否被篡改）
你所簽署的文件是否被篡改，具體是通過(guò)證書(shū)來(lái)制作文件的數(shù)字簽名。我們來(lái)舉個(gè)軟件按照的例子，具體說(shuō)下如何驗(yàn)證文件的數(shù)字簽名。
比如，一個(gè)帶有數(shù)字簽名的安裝文件，上面有個(gè)“數(shù)字簽名”的標(biāo)簽頁(yè)。如果沒(méi)有出現(xiàn)這個(gè)標(biāo)簽頁(yè)，就說(shuō)明該文件沒(méi)有附帶數(shù)字簽名。
然而，某些數(shù)字簽名中沒(méi)有包含“郵件地址”，那么這一項(xiàng)會(huì)顯示“不可用”;同樣的，某些數(shù)字簽名沒(méi)有包含“時(shí)間戳”，也會(huì)顯示“不可用”。這些地方顯示的“不可用”跟數(shù)字簽名的有效性沒(méi)關(guān)系。
一般來(lái)說(shuō)，簽名列表中，有且僅有一個(gè)簽名。選中它，點(diǎn)“詳細(xì)信息”按鈕，會(huì)顯示一行字：“該數(shù)字簽名正常”。如果有這行字，就說(shuō)明該文件從出廠到你手里，中途沒(méi)有被篡改過(guò)。

如果該文件被篡改過(guò)了(比如感染了病毒、被注入木馬)，那么對(duì)話(huà)框會(huì)出現(xiàn)一個(gè)警告提示“該數(shù)字簽名無(wú)效”。
不論簽名是否正常，你都可以點(diǎn)“查看證書(shū)”按鈕。這時(shí)候，會(huì)跳出證書(shū)的對(duì)話(huà)框。
目前大多數(shù)知名的公司或組織機(jī)構(gòu)發(fā)布的可執(zhí)行文件(比如軟件安裝包、驅(qū)動(dòng)程序、安全補(bǔ)丁)，都帶有數(shù)字簽名。建議大家在安裝軟件之前，都先看看是否有數(shù)字簽名，如果有，就按照上述步驟驗(yàn)證;如果數(shù)字簽名無(wú)效，建議你還是別裝了，會(huì)有安全隱患。
好了！今天的東用知識(shí)小課堂到這里就結(jié)束了，大家如果還有疑問(wèn)的話(huà)，可以在下方留言或者私信給我們，我們下期再見(jiàn)！