Descrição de certificados digitais

Este artigo contém uma descrição de certificados digitais.

Informações gerais

O principal objetivo do certificado digital é garantir que a chave pública contida no certificado pertence à entidade para a qual o certificado foi emitido.

Técnicas de criptografia usando chaves públicas e particulares exigem uma uma infra-estrutura chave pública (PKI) para oferecer suporte a distribuição e a identificação de chaves públicas. Certificados digitais de pacote chaves públicas, informações sobre algoritmos usados, proprietário ou assunto dados, a assinatura digital de uma autoridade de certificação que verificou os dados de entidade e um intervalo de datas durante o qual o certificado pode ser considerado válido.

Sem certificados, seria possível criar um novo par de chaves e distribua a chave pública, que alega que ele é a chave pública para quase qualquer pessoa. Você pode enviar dados criptografados com a chave particular e a chave pública deverá ser usada para descriptografar os dados, mas não deve haver nenhuma garantia de que os dados foi originados por qualquer pessoa em particular. Tudo o que o receptor saberia é que um par de chaves válido foi usado.

Autoridades de certificação

Certificados são assinados pela autoridade de certificação (CA) que emite-los. Em essência, uma autoridade de certificação é um terceiro normalmente confiável é confiáveis para verificar a correspondência de chaves públicas para identidade, nome de email ou outras informações.

Os benefícios de certificados e autoridades de certificação ocorrem quando duas entidades confiarem mesma autoridade de certificação. Isso permite que eles aprendem a trocar certificados assinados pela autoridade de certificação de chave pública de uns dos outros. Depois que eles souberem chave pública de uns dos outros, eles podem usá-los para criptografar dados e enviá-lo para outro ou para verificar assinaturas em documentos.

Um certificado mostra que uma chave pública armazenada no certificado pertence ao assunto do certificado. Uma autoridade de certificação é responsável por verificar a identidade de uma entidade solicitante antes de emitir um certificado. A autoridade de certificação, em seguida, assina o certificado usando sua chave particular, que é usado para verificar o certificado. Chaves públicas de uma autoridade de certificação são distribuídas em pacotes de software, como navegadores e sistemas operacionais ou eles também podem ser adicionados manualmente pelo usuário.

Software que foi projetado para aproveitar a PKI mantém uma lista de CAs que ele confia.

Para exibir a lista de CAs que confia no Internet Explorer, use o método apropriado:

Internet Explorer 3.x

No menu Exibir , clique em Opções , clique na guia segurança e, em seguida, clique em editores .

Internet Explorer 4.x

No menu Exibir , clique em Opções da Internet , clique na guia conteúdo e, em seguida, clique em editores .

Internet Explorer 5

No menu Ferramentas , clique em Opções da Internet , clique na guia conteúdo e, em seguida, clique em certificados .

Uma lista de CAs que são incluídos nos produtos Microsoft está disponível no seguinte site da Microsoft:

Tipos de certificado

Há quatro tipos de certificados digitais usados na Internet:

Certificados pessoais:

Esses certificados identificam indivíduos. Eles podem ser usados para autenticar usuários com um servidor ou para ativar o email seguro usando S MIME. A Microsoft recomenda exportar seus certificados pessoais para um local seguro como forma de backup caso os certificados sejam danificados. Se um arquivo de lista de senhas (.pwl) estiver danificado ou faltando, o certificado não está disponível para uso, e você receberá uma mensagem de erro ao tentar enviar email. Para obter mais informações sobre esse problema consulte os seguintes artigos na Base de dados de Conhecimento da Microsoft:

Certificados de servidor:

Certificados de servidor identificam servidores que participam de comunicações seguras com outros computadores usando protocolos de comunicação como SSL. Esses certificados permitem que um servidor verificar sua identidade para clientes. Certificados de servidor seguem o formato de certificado X.509 que é definido por padrões de criptografia Public-Key (PKCS).

Certificados de editor de software:

Microsoft Authenticode não garante que o código assinado é seguro executar, mas em vez disso, informa ao usuário se ou não o Editor está participando da infra-estrutura de editores confiáveis e CAs. Esses certificados são usados para assinar software a ser distribuído pela Internet.

Authenticode requer um certificado de editor software para assinar Microsoft ActiveX e outros códigos compilados. O Internet Explorer também é capaz de confiante software que está assinado com um certificado de um editor.

Para exibir uma lista de editores de software confiáveis no Internet Explorer, clique em Opções da Internet no menu Ferramentas , clique na guia conteúdo e, em seguida, clique em editores . Você também pode remover editores confiáveis clicando em Remover nesta tela.

Certificados de autoridade de certificado:

Internet Explorer 5 divide CAs em duas categorias, autoridades de certificação raiz e autoridades de certificação intermediárias. Certificados raiz são auto-assinados, que significa que a entidade do certificado é também o signatário do certificado. Autoridades de certificação raiz têm a capacidade para atribuir certificados de autoridades de certificação intermediárias. Uma autoridade de certificação intermediárias tem a capacidade para emitir certificados de servidor, certificados pessoais, certificados de editor ou certificados para outras autoridades de certificação intermediárias.

Por exemplo, se você clicar em certificados na guia conteúdo na caixa de diálogo Propriedades do Internet Explorer, uma lista de certificados que estão instalados no seu computador é exibida. Há uma autoridade raiz confiável listado como "Classe 1 pública primário Certification Authority" (que é executado pelo VeriSign). Este certificado é emitido e assinado pela classe 1 pública autoridade de certificação primária e, portanto, é um certificado raiz. Na guia autoridades de certificação intermediárias, há vários certificados listados como "VeriSign Class 1 CA". O certificado raiz mencionado acima esses certificados emitidos. Essas autoridades de certificação intermediárias foram criadas para fins de emissão e validar certificados digitais pessoais, portanto, se uma pessoa obteve um certificado digital pessoal classe 1 da VeriSign, ele será emitido por uma dessas autoridades de certificação intermediário. Isso cria o que é conhecido como uma cadeia de verificação. Nesse caso, há apenas três certificados na cadeia da verificação de um certificado pessoal. No entanto, cadeias de verificação podem conter um grande número de certificados, dependendo do número de autoridades de certificação intermediárias na cadeia.

A cadeia de verificação de um certificado pode ser exibida clicando duas vezes o certificado e, em seguida, clicando na guia caminho de certificação.

Como um certificado é emitido

1. Geração de chave: A individual solicitante certificação (candidato, não a autoridade de certificação) gera pares de chaves de chaves públicas e particulares.
2. Correspondência de informações de diretiva: O candidato pacotes as informações adicionais necessárias para a CA emitir o certificado (como prova de identidade, número de identificação de imposto, endereço de email e assim por diante). A definição precisa dessas informações é a autoridade de certificação.
3. Envio de chaves pública e informações: O candidato envia as informações (freqüentemente criptografados usando a chave pública da autoridade de certificação) e chaves públicas para a autoridade de certificação.
4. Verificação de informações: A CA se aplica a quaisquer regras de diretiva ele requer a fim de verificar se o candidato deve receber um certificado.
5. Criação de certificado: A autoridade de certificação cria um documento digital com as informações apropriadas (chaves públicas, data de validade e outros dados) e assina-lo usando chave particular da CA.
6. Enviar/postar do certificado: A CA pode enviar o certificado para o candidato ou poste-o publicamente conforme apropriado.
7. O certificado é carregado no computador de um usuário individual.

Revogação de certificado

Autoridades de certificação publicar listas de revogação de certificado (CRLs) que contém certificados tem sido revogados pela autoridade de certificação. Chave particular do proprietário do certificado pode ter sido comprometida ou informações falsas podem ter sido usadas para solicitar o certificado. CRLs fornecem uma maneira de retirando um certificado depois que tiver sido emitida. CRLs são disponibilizadas para download ou exibição on-line por programas de cliente.

Para verificar um certificado, tudo o que é necessário é a chave pública da autoridade de certificação e uma verificação em relação a CRL publicada pela CA. certificados e autoridades de certificação reduzem o problema de distribuição de chave pública de verificar e confiar em uma (ou mais) chaves públicas por pessoa. Em vez disso, apenas a CA é pública chave deve ser confiável e verificada e, em seguida, que pode ser dependia para permitir que a verificação de outros certificados. Internet Explorer 5 pode ser definida para verificar a validade dos certificados na guia Avançado na caixa de diálogo Propriedades do Internet Explorer.