数字证书就像现实生活中的身份证，由权威机构（CA）颁发，以证明身份。

数字签名类似于现实生活中的签名，由于数字签名无法防范中间人攻击，所以一般搭配数字证书一起使用。

举个例子，你在路上遇到一个人，他说他叫张三，还写了一个签名以验证身份。你知道“张三”确实是这个人写的，但是你不知道他的真名。于是他亮出身份证，你看到了身份证上的照片和名字，你知道他真的叫张三，并且签名的确是张三签的名。

这里签名可以类比数字签名，任何人都可以签名张三，笔迹也是真实的，但是你不知道他真名，除非有身份证。

数字证书难以作假，就像身份证难以作假一样，所以是有效的。

数字证书签发

图一 数字证书颁发流程

1）由数字证书需求方产生自己的密钥对。

2）由数字证书需求方将算法、公钥和证书申请者身份信息传送给认证机构。

3）由认证机构核实用户的身份，执行相应必要的步骤，确保请求确实由用户发送而来。

4）由认证机构将数字证书颁发给用户。

这里的认证机构如果是证书申请者本身，将获得自签名证书。

摘自：《Java加密与解密的艺术（第2版）》 — 梁栋

在豆瓣阅读书店查看：https://read.douban.com/ebook/10158303/

本作品由华章数媒授权豆瓣阅读全球范围内电子版制作与发行。

© 版权所有，侵权必究。