中国金融认证中心提供的CA证书

CA机构介绍（CertificateAuthority域名SSL证书颁发机构）SSL证书机构即CA机构的全称为Certificate Authority证书认证中⼼，只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的ssl证书颁发机构。

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为⽬标的 HTTP 通道，在HTTP的基础上通过传输加密和⾝份认证保证了传输过程的安全性。

HTTPS 在HTTP 的基础下加⼊SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要SSL。

HTTPS 存在不同于 HTTP 的默认端⼝及⼀个加密/⾝份验证层（在 HTTP与 TCP 之间）。

这个系统提供了⾝份验证与加密通讯⽅法。

⽬前全球主流的CA机构有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等，其中Symantec、GeoTrust都是DigiCert机构的⼦公司，⽬前市场上主流的ssl证书品牌是Comodo证书、Symantec证书、GeoTrust证书、Thawte证书和RapidSSL证书，还有⼀些不知名的证书机构也是可以颁发数字证书的。

DigiCertDigiCert 旗下拥有 DigiCert，Symantec，Geotrust，Thawte，Rapid 5⼤SSL证书品牌。

DigiCert SSL证书分为 OV 和 EV 两种验证级别，同时⽀持多域名和通配符功能，也是全球极少能⽀持 IP 直接申请证书的CA之⼀。

Symantec赛门铁克（Symantec）SSL证书前⾝为 Verisign，后于2017年12⽉被DigiCert收购，现在已经使⽤ DigiCert 根证书。

Symantec Secure Site SSL证书依然是各⾏业尤其是⾦融银⾏证券等⼤型企业认可的品牌。

中国金融认证中心提供的CA证书中国金融认证中心（China Financial Certification Authority，简称CFCA）是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构，是国家重要的金融信息安全基础设施之一。

在《中华人民共和国电子签名法》颁布后，CFCA成为首批获得电子认证服务许可的电子认证服务机构。

自2000年挂牌成立以来，CFCA一直致力于全方位网络信任体系的构建，历经十多年发展，已经成为国内最大的电子认证服务机构。

自2009年启动战略转型以来，已逐步由单一的电子认证服务机构转变为综合的信息安全服务提供商。

目前公司业务涵盖五大业务板块，即电子认证服务、互联网安全支付、信息安全产品、信息安全服务、互联网媒体及互联网金融产品。

截至目前，全国已开通网上银行服务并使用数字证书的银行中，有97%的银行使用了CFCA提供的电子认证服务。

在提供专业化服务的同时，CFCA充分利用自身的权威品牌优势举办行业公益活动——“中国电子银行联合宣传年”（原“放心安全用网银联合宣传年”）。

自2004年起，“中国电子银行联合宣传年”通过一系列形式向大众传播电子银行安全知识，并得到了中国人民银行、银监会、工信部以及公安部政府主管部门的大力支持，有效促进了电子银行整体行业的健康发展。

2011年，活动的官方网站“中国电子银行网”正式上线。

中国电子银行网是由CFCA牵头联合近60家商业银行创建的互联网金融第一门户网站，是目前行业规模最大、并极具影响力的社会化媒体平台。

网站除作为大众认识电子银行业的窗口和平台外，还开展网站广告及其它品牌增值服务。

CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商，一直致力于创建高水准的基础设施条件和管理体系，竭诚为广大客户提供高质量的产品和一流服务。

为营造可信的网络环境、构建稳固的网络信任体系而不断努力，以推动我国的信息安全事业繁荣发展。

CA认证介绍为促进电子商务在中国的顺利开展，一些行业都已建成了自己的一套CA体系，如中国电信CA安全认证体系（CTCA）、中国金融认证中心（CFCA）等；还有一些行政区也建立了或正在建立区域性的CA体系，如上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、海南省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。

1. 中国电信CA安全认证系统（CTCA）中国电信自1997年底，开始在长沙进行电子商务试点工作，由长沙电信局负责组织。

CTCA是国内最早的CA中心。

1999年8月3日，中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定，并获得国家信息产品安全认证中心颁发的认证证书，成为首家允许在公网上运营的CA安全认证系统。

目前，中国电信可以在全国范围内向用户提供CA证书服务。

现在中国电信已经为用户发放了6万多张CTCA证书。

中国电信CTCA系统有一套完善的证书发放体系和管理制度。

体系采用三级管理结构：全国CA安全认证中心，（包括全国CTCA中心、CTCA湖南备份中心），省级RA中心以及地市业务受理点，在2000年6月形成覆盖全国的CA证书申请、发放、管理的完整体系。

系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。

同时，中国电信还组织制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等，而且中国电信向社会免费公布CTCA系统接口标准和API软件包，为更多的电子商务应用开发商提供CTCA系统的支持与服务。

中国电信已经与银行、证券、民航、工商、税务等多个行业联合开发出了网上安全支付系统、电子缴费系统、电子银行系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统、网上报税等一系列基于中国电信CTCA安全认证系统的电子商务应用，已经初步建立起中国电信电子商务平台。

浅谈我国电子商务CA发展中存在的问题及对策济南职业学院石岱峰、宗斐摘要：当代信息技术,特别是以Internet为核心的网络技术的发展与应用，使社会步入了全新的网络经济时代。

我国现在正处于电子商务的飞速发展时期，由于利益的驱动和冲突，CA 建设蜂拥而起.然而由于准入门槛较低，许多CA企业在建立之时就存在许多问题。

<<电子签名法>>正式实施,制约着CA机构发展的法律问题终于被打破，给CA们带来一次巨大的冲击。

一方面,被新法拒之门外的CA企业应该如何发展自身实力以符合<<电子签名法>>中的准入要求，取得国务院相关部门颁发的认证资格；另一方面,存活下来的CA企业虽然能在政府管理下的市场经济中分享丰厚的市场，但也面临着制约其发展的其他方面的问题。

本文就此问题开展讨论研究，总结出制约我国CA发展的问题所在，为我国CA业的发展方向提出自己的观点。

关键词：CA认证存在问题对策一、我国电子商务CA的发展状况CA（Certificate Authority）安全认证体系是采用第三方权威机构认证机制，解决互联网络电子商务和安全通信中的身份认证以及公开密钥合法性检验问题的一套严密的安全技术体系。

CA证书是用户在互联网络上的个人身份证明，它是网络通讯中标志通讯各方身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，其作用类似于现实生活中的身份证。

是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

电子商务CA安全认证体系是保证电子商务安全的基础设施。

随着网络规模的扩大和用户群体的急剧增加，在中国公共多媒体通信网和中国公用计算机互联网上架构安全平台，开展大规模电子商务应用和服务已十分迫切。

近几年来，不少行业和地区积极地进行了电子商务的实践，普遍认识到：保证网上电子商务的安全是电子商务发展的关键所在，电子商务CA安全认证体系是保证电子商务安全的基础设施。

中国金融认证中心介绍中国金融认证中心（China Financial Certification Authority英文简称CFCA），是由中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等十四家全国性商业银行共同建立的国家级权威金融认证机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。

中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务，为参与网上交易的各方提供信息安全保障，建立彼此信任的机制，实现互联网上电子交易的保密性、真实性、完整性和不可否认性。

同时参与制定有关网上安全交易规则，确立相应技术规范和运作规范，提供网上支付，特别是网上跨行支付的相互认证等服务。

中国金融认证中心认证系统采用基于PKI（公钥基础设施）技术的双密钥机制，在保证核心加密模块国产化的前提下，通过国际招标建立了具有世界先进水平的认证系统，并通过了国家信息安全产品测评认证中心的安全评测。

CFCA认证系统具有完善的证书管理功能，提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务。

目前CFCA具有覆盖全国的认证服务体系，提供多种用途的证书和信息安全服务，支持金融领域及其他各界用户的应用需求，包括网上购物、网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务（OA、MIS）等等，CFCA证书全面支持电子商务的各种业务运作模式。

中国金融认证中心的突出特点是其金融特色，CFCA证书发放前须经过金融机构审批以规避交易中可能发生的支付风险，证书申请者必须具备合格的金融资信和支付能力才能获得CFCA证书。

此外CFCA证书实现了不同银行之间、银行与客户之间信任关系的连接与传递，为全面解决网上安全支付提供了有力支持。

目前，CFCA证书已实现了网上银行业务的跨行身份认证，用户只需持有一张CFCA证书，即可在多个银行的网银系统中进行身份鉴别。

CA证书理解？CA证书的作⽤？CA证书顾名思义就是由CA（Certification Authority）机构发布的数字证书。

要对CA证书完全理解及其作⽤，⾸先要理解SSL。

SSL（security sockets layer，安全套接层）是为⽹络通信提供安全及数据完整性的⼀种安全协议。

SSL3.0版本以后⼜被称为TLS。

SSL位于TCP与各应⽤层之间，是操作系统向外提供的API。

SSL如何保证⽹络通信的安全和数据的完整性呢？就是采⽤了两种⼿段：⾝份认证和数据加密。

⾸先⾝份认证就需要⽤到CA证书了。

先了解CA证书具体包括哪些内容：颁发者使⽤者版本签名算法签名哈希算法使⽤者公钥指纹指纹算法……上述中颁发者、使⽤者、版本等内容好理解，颁发者就是CA机构，下⾯会讲到。

对于签名算法、签名哈希算法的理解，⾸先要先理解签名是什么东东？联系到实际情况，当我们向某机构提供报告时，往往在报告最后加上个⼈的名字，以表⽰该报告是我本⼈的。

签名在⽹络通讯中的应⽤称为数字签名，当服务器向客户端发送信息时，会将报⽂⽣成报⽂摘要，同时对报⽂摘要进⾏hash计算，得到hash值，然后对hash值进⾏加密，然后将加密的hash值放置在报⽂后⾯，这个加密后的hash值就称为签名。

服务器将报⽂、签名和数字证书⼀同发送给客户端。

客户端收到这些信息后，会⾸先验证签名，利⽤签名算法对签名进⾏解密，得到报⽂摘要的hash值，然后将得到的报⽂⽣成报⽂摘要并利⽤签名hash算法⽣成新的hash值，通过对⽐这两个hash值是否⼀致，就能判断信息是否完整，是否是由真正的服务器发送的。

可知签名有两个作⽤确认消息发送⽅可靠，确认消息完整准确。

上⾯提到了hash值的加密，我们还需要理解SSL的加密机制，在使⽤SSL的⽹络通讯过程中，消息在请求和响应中都是加密传送的。

⾸先要知道加密算法分为两种：对称加密和⾮对称加密。

对称加密就是发送双发使⽤相同的密钥对消息进⾏加解密，常见的对称加密为DES、3DES,AES等。

随着互联网的普及，尤其是电子商务、电子政务的不断实施，CA认证越来越受到人们的重视，其市场也不断扩大。

但是，许多互联网用户对此概念还比较模糊，对其作用和市场不甚了解，为此，作者希望通过本文的介绍对CA认证市场及其广大网络用户起到抛砖引玉的作用。

１．关于CACA机构，又称为证书授证（Certificate Authority）中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。

CA中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明客户合法拥有证书中列出的公开密钥。

CA机构的数字签名使得第三者不能伪造和篡改证书。

它负责产生、分配并管理所有参与网上信息交换各方所需的证书，因此是安全电子信息交换的核心。

CA认证所签发的数字证书包括个人数字证书，企业数字证书服务器身份证书．安全Web站点证书、代码签名证书，安全电子邮件证书．广泛的被应用于电子商务、网上银行、电信、电子政务、网上身份证、数字签名、电子公证、安全电邮、保险等领域。

２．获得数字证书的过程首先用户要填写数字证书申请表，向认证中心申请单位提供申请人（申请单位）的身份信息；然后发证机构验证用户身份；认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内附有用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。

当用户想证明其身份的合法性时，就可以提供这一数字证书了。

3．数字证书的内容证书的格式由ITU标准X.509V3来定义。

根据这项标准，证书包括申请证书个体的信息和发行证书CA的信息．证书由以下两部分组成(1)证书数据版本信息，用来与X.509的将来版本兼容；证书序列号,每一个由CA发行的证书必须有一个惟一的序列号；CA所使用的签名算法；发行证书CA的名称；证书的有效期限；证书主题名称；被证明的公钥信息,包括公钥算法、公钥的位字符串表示；包含额外信息的特别扩展。