ca 证书、签名

1、我现在没有个人CA证书，使用.中信建投网上交易，是如何保障安全的呢？

　　如果您目前没有个人CA证书，使用.中信建投网上交易，系统其实也是用CA证书的RSA体系进行加密的。
　　您在输入账户和密码进行登录时，系统会使用网上交易服务器CA证书建立加密安全通道。您输入的账户号和密码，客户端使用对端服务器证书中的公钥进行非对称加密，然后将加密后的数据传输给网上交易服务器。由于只有网上交易服务　　器拥有相应的私钥，来进行解密并提交委托，所以从根本上确保了交易信息的保密性和不可修改性。
　　交易者身份的确定和交易的不可抵赖，如果没有个人CA证书无法用数字签名来保障。这时，网上交易按照电话委托、刷卡委托等其他委托一样的方式，通过账号密码的验证，来校验交易者身份，并最终确立交易的合法性和不可抵赖性。

2、既然.中信建投网上交易已经使用了服务器CA证书加密来保障安全，为什么还要申请个人CA证书？

　　前面说过，个人CA证书是您个人的网上数字身份证件。如果您使用个人CA证书进行网上交易，相当于您每次交易的时候，系统除了校验您的账号密码的正确性以外，还要看看您的身份证件（数字签名）是否正确，这种双重验证，增加了网上交易在身份确认环节的可靠性。

3、那是不是申请了个人CA证书以后，就绝对安全了，账户密码泄漏了也不要紧

　　使用个人CA证书进行网上交易，交易者除了要拥有交易账户密码，还要拥有证书私钥。
　　但是，因为电话委托、热自助委托、手机委托等委托方式，只进行账户密码的验证，所以如果您的密码泄漏，同样是非常危险的。
　　另外，证书的泄漏，也会造成安全问题。投资者如果要在公共场合（如网吧等）使用数字证书进行网上交易，一定要在软盘中使用，不要将个人证书装载到公用计算机硬盘中。

4、如果我申请了一张个人数字证书，但我更换电脑或者重装以后该如何恢复？

　　如果需要恢复原来的证书，必须事先备份，比如备份到软盘或其他介质。
　　如果没有备份，是无法恢复的，就只有重新申请证书了。

5、我有很多资金账户，是否能够使用同一个数字证书？

　　一般不可以。一个数字证书对应一个资金账号。除非所有资金账户的开户人和个人信息都一致，申请一个证书就可以了。
　　因为个人证书内，有证书持有人的姓名、身份证号等个人信息，网上交易登录时，需要校验证书内的个人信息和资金账户的个人信息的一致性。

6、如何申请个人CA证书网上交易？

　　1、本人到所在营业部柜台
　　2、填写《个人CA证书网上交易开通申请》（一式2份），并且出示本人身份证
　　3、营业部柜台业务人员盖章后将一份开通申请返还
　　4、2个交易日以后，登录"稳赢网上交易"，点击"下载个人sheca证书"按钮，按照《个人CA证书网上交易开通申请》所填内容输入、系统进行信息校验、自动下载安装个人证书。
　　5、重新登录，将启用个人CA证书交易。同时可以通过交易软件将证书进行妥善备份。

7、什么是CA

　　CA的英文全称是Certificate Authority，即证书授权中心，是数字证书的发行机构。

8、什么是数字证书

　　数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
　　数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。
　　数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

9、基于数字证书的加密体系

　　数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。

10、什么是数字签名

　　数字签名并非是书面签名的数字图像化。它其实是一种电子代码，利用它，收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。
　　数字签名的签名过程,就是发送者根据待发送的信息产生摘要，并对摘要用自身的私钥加密, 形成唯一的签名。信息和用自身私钥加密的数字摘要组合成数字签名。
　　用户采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：
　　（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认； 
　　（2）接收方可以验证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

11、什么是非对称加密

　　非对称加密是基于数字证书的加密体系中的一种加密方式。当发送信息时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。

12、根证书、个人证书、私钥文件

　　根证书、个人证书、私钥在个人证书发行时是3个独立的部分，分别保存在3个独立的存盘文件中。
　　根证书是证书发行机构的自身证书，可以用来验证该发行机构所发行的个人证书等其他证书的合法性。
　　个人证书中包含证书持有者的个人身份信息、公钥及CA发行机构的签名数字，在网络通讯中标识证书持有者的个人身份
　　私钥文件是存放私钥的文件，与证书中的公钥组成一对互相匹配的公私钥对，是基于证书的加密体系的重要部分。私钥文件是证书持有人的私有文件，需要妥善保管。私钥文件有私钥保护密码保护，在一定程度上避免私钥丢失被其他人利用。

13、CA的作用

　　CA提供的安全技术对网上的数据、信息发送方、接收方进行进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。数字安全证书建立了一套严密的身份认证系统，可以确保电子商务的安全性。 
　　交易信息的保密性 
　　交易信息的不可修改性 
　　交易者身份的确定性 
　　交易的不可抵赖性
　　总之,我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。