CA[產生和確定數字證書的第三方可信機構]

證書中綁定了公鑰數據、和相應私鑰擁有者的身份信息，並帶有CA的數字簽名。證書中也包含了CA的名稱（圖中為LOIS CA），以便於依賴方找到CA的公鑰、驗證證書上的數字簽名。如圖 1所示。

1 CA簽發證書

驗證證書的時候，需要得到CA的公鑰。用戶的公鑰可以通過證書來證明，那CA的公鑰如何獲得呢？可以再讓另一個CA來發證書，但最終總有一個CA的公鑰的獲得過程缺乏證明。PKI技術並不把這樣一個循環問題留給自己，而是依賴其它的安全信道來解決。因為CA畢竟不多，可以通過廣播、電視或報紙等公開的權威的媒介，甚至通過發布紅頭檔案的方式來公告CA的公鑰。

公告CA的公鑰可以有多種形式，為了兼容程式的處理，人們一般也以證書的形式發布CA的公鑰。CA給自己簽發一張證書，證明自己擁有這個公鑰，這就是自簽名證書（Self-Signed Certificate）。如圖2所示：

2 CA自簽名證書

與末端實體的證書不一樣，在尚未確定CA公鑰時，CA自簽名證書其實不是真正的數字證書，而僅僅是擁有證書形式的一個公鑰。所以CA自簽名證書必須從可信的途徑獲取。例如，任何人都可以產生一對公私密鑰對，並聲稱自己就是LOIS CA，然後簽發一張自簽名證書、並通過網路隨意傳播。CA自簽名證書可以通過權威媒體或面對面USB硬碟等進行傳輸。

用戶擁有CA自簽名證書之後，就可以離線地驗證所有其它末端用戶證書的有效性，獲得其它實體的公鑰、進行安全通信。

CA是負責確定公鑰歸屬的組件，所以CA必須得到大家的信任才能充當這樣的角色，其確定公鑰歸屬的技術手段也必須是可靠的。CA通過證書方式為用戶提供公鑰的擁有證明，而這樣的證明可以被用戶接受。

在用戶驗證公鑰歸屬的過程中，有數據起源鑑別、數據完整性和非否認性的安全要求。CA對某公鑰擁有人的公鑰證明必須實現這些安全要求才能夠為公鑰的用戶所接受。首先，不論用戶獲得通信對方公鑰的途徑是什麼，他必須確定信息最初始的來源是可信的CA、而不是其它的攻擊者。其次，我們要保證在獲得信息的過程中，信息沒有被篡改、是完整的。最後，公鑰的擁有證明是不可否認的，即通過證書驗證都能夠確保CA不能否認它提供了這樣的公鑰擁有證明。在PKI中，CA也具有自己的公私密鑰對，對每一個“公鑰證明的數據結構”進行數字簽名，實現公鑰獲得的數據起源鑑別、數據完整性和非否認性。用於公鑰證明的數據結構，就是數字證書。

CA(Certificate Authority)是數字證書認證中心的簡稱，是指發放、管理、廢除數字證書的機構。CA的作用是檢查證書持有者身份的合法性，並簽發證書（在證書上籤字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。

數字證書實際上是存於計算機上的一個記錄，是由CA簽發的一個聲明，證明證書主體（"證書申請者"擁有了證書後即成為"證書主體"）與證書中所包含的公鑰的惟一對應關係。證書包括證書申請者的名稱及相關信息、申請者的公鑰、簽發證書的CA的數字簽名及證書的有效期等內容。數字證書的作用是使網上交易的雙方互相驗證身份，保證電子商務的安全進行。

解 釋: 受委託發放數字證書的第三方組織或公司。數字證書是用來建立數字簽名和公-私(public-private)密鑰對的。CA在這個過程中所起的作用就是保證獲得這一獨特證書的人就是被授權者本人。在數據安全和電子商務中，CA是一個非常重要的組成部分，因為它們確保信息交換各方的身份。

CA的層級結構：

CA建立自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發證書並認證。

CA提供的服務：

頒發證書、廢除證書、更新證書、驗證證書、管理密鑰。

CA大概分以下幾種：

1、行業性CA

金融CA體系、電信CA體系、郵政CA體系、外經貿部CA、

中國海關CA、中國銀行CA、中國工商銀行CA、中國建設

銀行CA、招商銀行CA、國家計委電子政務CA、南海自然

人CA（NPCA）

2、區域性CA

協卡認證體系（上海CA、北京CA、天津CA）

網證通體系（廣東CA、海南CA、湖北CA、重慶CA）

3、獨立的CA認證中心

– 山西CA、吉林CA、寧夏西部CA、陝西CA、福建CA、黑龍

江郵政CA、黑龍江政府CA、山東CA、深圳CA 、吉林省政

府CA、福建泉州市商業銀行網上銀行CA、天威誠信CA