摘自《百度百科——密鑰密碼體系》

http://baike.baidu.com/item/%E5%AF%86%E9%92%A5%E5%AF%86%E7%A0%81%E4%BD%93%E7%B3%BB?fromtitle=%E5%AF%86%E9%92%A5%E4%BD%93%E7%B3%BB&type=syn

CA(Certificate Authority)　電子簽證機關（即CA）。CA也擁有一個證書（內含公鑰），當然，它也有自己的私鑰，所以它有簽字的能力。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都應該可以得到CA的證書（含公鑰），用以驗證它所簽發的證書。 如果用戶想得到一份屬于自己的證書，他應先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發給那個用戶（申請者）。 如果一個用戶想鑒別另一個證書的真偽，他就用CA的公鑰對那個證書上的簽字進行驗證（如前所述，CA簽字實際上是經過CA私鑰加密的信息，簽字驗證的過程還伴隨使用CA公鑰解密的過程），一旦驗證通過，該證書就被認為是有效的。 CA除了簽發證書之外，它的另一個重要作用是證書和密鑰的管理。 由此可見，證書就是用戶在網上的電子個人身份證，同日常生活中使用的個人身份證作用一樣。CA相當于網上公安局，專門發放、驗證身份證。

摘自《百度百科——CA》

http://baike.baidu.com/link?url=90UUbTOSiu4v4IsJXYwxjQ1At69gtNXCptNQANPYyTmFXFN8H5R3C2wl43XULH99Cqz7mQCI6kkGrVB1EaGq_a

CA（證書管理機構）是PKI（Public Key Infrastructure，公鑰基礎設施）系統中通信雙方都信任的實體，被稱為可信第三方（Trusted Third Party，簡稱TTP）。CA作為可信第三方的重要條件之一就是CA的行為具有非否認性。作為第三方而不是簡單的上級，就必須能讓信任者有追究自己責任的能力。CA通過證書證實他人的公鑰信息，證書上有CA的簽名。用戶如果因為信任證書而導致了損失，證書可以作為有效的證據用于追究CA的法律責任。正是因為CA愿意給出承擔責任的承諾，所以也被稱為可信第三方。在很多情況下，CA與用戶是相互獨立的實體，CA作為服務提供方，有可能因為服務質量問題（例如，發布的公鑰數據有錯誤）而給用戶帶來損失。證書中綁定了公鑰數據、和相應私鑰擁有者的身份信息，并帶有CA的數字簽名。證書中也包含了CA的名稱（圖中為LOIS CA），以便于依賴方找到CA的公鑰、驗證證書上的數字簽名。如圖 1所示。 1 CA簽發證書 驗證證書的時候，需要得到CA的公鑰。用戶的公鑰可以通過證書來證明，那CA的公鑰如何獲得呢？可以再讓另一個CA來發證書，但最終總有一個CA的公鑰的獲得過程缺乏證明。PKI技術并不把這樣一個循環問題留給自己，而是依賴其它的安全信道來解決。因為CA畢竟不多，可以通過廣播、電視或報紙等公開的權威的媒介，甚至通過發布紅頭文件的方式來公告CA的公鑰。 公告CA的公鑰可以有多種形式，為了兼容程序的處理，人們一般也以證書的形式發布CA的公鑰。CA給自己簽發一張證書，證明自己擁有這個公鑰，這就是自簽名證書（Self-Signed Certificate）。如圖2所示： 2 CA自簽名證書 與末端實體的證書不一樣，在尚未確定CA公鑰時，CA自簽名證書其實不是真正的數字證書，而僅僅是擁有證書形式的一個公鑰。所以CA自簽名證書必須從可信的途徑獲取。例如，任何人都可以產生一對公私密鑰對，并聲稱自己就是LOIS CA，然后簽發一張自簽名證書、并通過網絡隨意傳播。CA自簽名證書可以通過權威媒體或面對面USB硬盤等進行傳輸。 用戶擁有CA自簽名證書之后，就可以離線地驗證所有其它末端用戶證書的有效性，獲得其它實體的公鑰、進行安全通信。 CA是負責確定公鑰歸屬的組件，所以CA必須得到大家的信任才能充當這樣的角色，其確定公鑰歸屬的技術手段也必須是可靠的。CA通過證書方式為用戶提供公鑰的擁有證明，而這樣的證明可以被用戶接受。 在用戶驗證公鑰歸屬的過程中，有數據起源鑒別、數據完整性和非否認性的安全要求。CA對某公鑰擁有人的公鑰證明必須實現這些安全要求才能夠為公鑰的用戶所接受。首先，不論用戶獲得通信對方公鑰的途徑是什么，他必須確定信息最初始的來源是可信的CA、而不是其它的攻擊者。其次，我們要保證在獲得信息的過程中，信息沒有被篡改、是完整的。最后，公鑰的擁有證明是不可否認的，即通過證書驗證都能夠確保CA不能否認它提供了這樣的公鑰擁有證明。在PKI中，CA也具有自己的公私密鑰對，對每一個“公鑰證明的數據結構”進行數字簽名，實現公鑰獲得的數據起源鑒別、數據完整性和非否認性。用于公鑰證明的數據結構，就是數字證書。 CA(Certificate Authority)是數字證書認證中心的簡稱，是指發放、管理、廢除數字證書的機構。CA的作用是檢查證書持有者身份的合法性，并簽發證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。 數字證書實際上是存于計算機上的一個記錄，是由CA簽發的一個聲明，證明證書主體（"證書申請者"擁有了證書后即成為"證書主體"）與證書中所包含的公鑰的惟一對應關系。證書包括證書申請者的名稱及相關信息、申請者的公鑰、簽發證書的CA的數字簽名及證書的有效期等內容。數字證書的作用是使網上交易的雙方互相驗證身份，保證電子商務的安全進行。 解 釋: 受委托發放數字證書的第三方組織或公司。數字證書是用來建立數字簽名和公-私(public-private)密鑰對的。CA在這個過程中所起的作用就是保證獲得這一獨特證書的人就是被授權者本人。在數據安全和電子商務中，CA是一個非常重要的組成部分，因為它們確保信息交換各方的身份。 CA的層級結構： CA建立自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發證書并認證。 CA提供的服務： 頒發證書、廢除證書、更新證書、驗證證書、管理密鑰。 CA大概分以下幾種： 1、行業性CA 金融CA體系、電信CA體系、郵政CA體系、外經貿部CA、 中國海關CA、中國銀行CA、中國工商銀行CA、中國建設 銀行CA、招商銀行CA、國家計委電子政務CA、南海自然 人CA（NPCA） 2、區域性CA 協卡認證體系（上海CA、北京CA、天津CA） 網證通體系（廣東CA、海南CA、湖北CA、重慶CA） 3、獨立的CA認證中心 –?山西CA、吉林CA、寧夏西部CA、陜西CA、福建CA、黑龍 江郵政CA、黑龍江政府CA、山東CA、深圳CA 、吉林省政 府CA、福建泉州市商業銀行網上銀行CA、天威誠信CA

總結

以上是生活随笔為你收集整理的证书管理机构——CA（Certificate Authority）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。