证书服务器的作用是什么？

目前还没有证书服务器的说法，您这边应该是想表示SSL证书的作用是什么吧。

什么是 SSL 证书

SSL 全称为“Secure Sockets Layer”，中文译为“安全套接层”，是遵守 SSL 安全套接层协议的数字证书，为网络通信提供安全及数据完整性的一种安全协议。

安全套接层，顾名思义是在 TCP 上提供的安全套接字层。其位于应用层和传输层之间，应用层数据不再直接传递给传输层而是传递给 SSL 层，SSL 层对从应用层收到的数据进行加密，利用数据加密、身份验证和消息完整性验证机制，为网络上数据的传输提供安全性保证。HTTPS 便是指 Hyper Text Transfer Protocol over SecureSocket Layer。

SSL证书的作用分析：

1、网站实现加密传输，加强隐私安全保护

网站没安装SSL证书的话，是以http协议来访问的，浏览器和服务器之间是明文传输，这意味着用户填写的账户信息、交易记录等隐私信息都是明文，存在被泄露、窃取及篡改的风险，容易被恶意攻击，给用户带来损失。

2、认证服务器真实身份，防止钓鱼网站仿冒

网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

3、有利于提高网站搜索排名及收录

现在各个主流浏览器会优先收录以https开头的网站，即安装了SSL证书的网站，例如百度、谷歌等浏览器对https网站比较友好，搜索排名及收录往往会比较不错，但如果是没有安装SSL证书的网站，就会提示安全风险警告信息，给访问者带来不好的体验。

4、提高公司品牌形象和可信度

SSL证书有多种类型，按照验证等级不同，从低到高，主要分为域名型DV SSL证书、企业型OV SSL证书、增强型EV SSL证书。安装了OV SSL证书或EV SSL证书的网站，访问者可以在浏览器地址栏查看到公司名称，另外EV证书会直接显示https绿色安全锁图标，用户可直观地了解到其访问的是安全可信的站点，可放心的进行操作和交易，有效提升公司的品牌形象和可信度。

计算机身份认证的技术分析和比较

摘要：本文综合评价了某些认证机制和方案的优劣，并分析了身份认证的理论和应用，列举了一些对身份认证的各种实现方法、技术现状及发展趋势，同时设计了一个利用数字签名实现的简单的身份认证方案。

关键词：身份认证技术　分析　比较　运用

随着网络时代的到来，人们可以通过网络得到各种各样的信息。但由于网络的开放性，它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此，网络安全越来越受到重视。作为网络安全的第一道防线，亦即是最重要的一道防线，身份认证技术受到普遍关注。

一、基于秘密信息的身份认证方法　

1、口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证　

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密鈅分发相结合。

与密鈅分发相结合的单向认证主要有两类方案：一类采用对密鈅加密体制，需要一个可信赖的第三方―――通常称为KDC（密鈅分发中心）或AS （认证服务器），同这个第三方来实现通信双方的身份认证和密鈅分发如DES算法，优点运算量小、速度快、安全度高，但其密鈅的秘密分发难度大；另一类采用非对称密鈅加密体制，加密和解密使用不同的密鈅SK，无需第三方参与，典型的公鈅加密算法有RSA。认证优点能适应网络的开放性要求，密鈅管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密鈅，典型方案是Needham/Schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方A掌握某些秘密信息，A想设法让认证方B相信他确实掌握那些信息，但又不想让认证方B知道那些信息。

如著名的Feige-Fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数V，使X2＝V mod n,即V为模n的剩余，且有V－1mod n存在。以V作为证明者的公鈅，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私鈅。实施身份证明的协议如下：被认证方A取随机数r,这里r<m,计算x=r2 mod m,把X送给认证方B；若b=1,则A将Y=RS送给B；若b=0,则B验证x=r2 mod m,从而证实A知道sqrt(x);若b=1,则B验证x=y2v mod m,从而证实A知道S。

这是一轮鉴定，A和B可将此协议重复t次，直到A相信B知道S为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用

1、Kerberos是MIT为分布式网络设计的可信第三方认证协议。网络上的Kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。Kerberos基于对称密码技术（采用DES进行数据加密，但也可用其他算法替代），它与网络上的每个实体分别共享一个不同的密鈅，是否知道该密鈅便是身份的证明。其设计目标是通过密鈅系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。 Kerberos也存在一些问题： Kerberos服务服务器的损坏将使得整个安全系统无法工作；AS在传输用户与TGS间的会话密鈅时是以用户密鈅加密的，而用户密鈅是由用户口令生成的，因此可能受到口令猜测的攻击；Kerberos 使用了时间戳，因此存在时间同步问题；要将Kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、HTTP中的身份认证

HTTP提供了一个基于口令的基本认证方法，目前，所有的Web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时，被访问访问对象所在目录下有访问控制文件（如NCSA用haaccess文件）规定那些用户可以访问该目录，Web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是Base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行EGI程序。所以，HTTP采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用SSI建立加密信道后再采用基本身份认证方式进行身份认证，而是基于IP地址的身份认证。

3、IP中的身份认证

IP协议由于在网络层，无法理解更高层的信息，所以IP协议中的身份认证实际不可能是基于用户的身份认证，而是基于IP地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用RSA算法和发送方的秘密密鈅。

由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密鈅分发（即使是公鈅，也要有一个机制将真实的公鈅信息传递给每一个用户）。可能数字签名也无从实现。

五、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

参考文献：

［1］美DER丹宁密码学与数据安全，科学出版社199111

［2］Derdk Atkins 等著严伟等译internet 网络安全专业参考手册机械工业出版社1998

SSL证书要到可信的CA机构申请，验证身份，然后部署在服务器上。

公众号会对服务器域名使用的SSL证书进行验证，如果验证不通过，该公众号将无法使用，这样能保障用户信息的安全，防止数据被篡改！

SSL证书，也称为服务器证书，是遵守SSL协议3337613238的一种数字证书，由全球信任的证书颁发机构如(WoSign CA)验证服务器身份后颁发。

避免影响正常使用中含有HTTP方式调用的服务，请开发者尽快调整，将现有通过HTTP方式调用的切换成HTTPS调用，平台将于2017年12月30日停止对HTTP方式调用的支持。

接口调用方式切换成HTTPS调用指导建议：

1，后台程序调用apiweixinqqcom的接口，采用HTTPS方式，连接端口443，修改方法请自行查询各种编程语言对HTTPS的支持。

2，HTML页面对apiweixinqqcom的URL访问，如果是HTTP方式，请直接指定HTTPS方式。

3，javascript等编程语言对apiweixinqqcom的URL访问也请从HTTP方式改为HTTPS方式。

SSL证书，也称为服务器证书，是遵守SSL协议3337613238的一种数字证书，由全球信任的证书颁发机构如(WoSign CA)验证服务器身份后颁发。

将SSL证书安装在网站服务器上，可实现网站身份验证和数据加密传输双重功能。

SS证书的作用：1，实现加密传输。

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、账号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，被黑客加以利用。

安装SSL证书后，使用Https协议加密访问网站，可激活客户端浏览器到网站服务器之间的"SSL加密通道"（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改。

2，认证服务器真实身份。

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站。

网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

3，SSL证书的应用领域。

多应用于对信息安全要求较高的web站点，如金融、证券、电商、学校、医疗、社保等站点。认证服务器真实身份，防止个人信息被窃取。

1）实现加密传输

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，被黑客加以利用。安装SSL证书后，使用Https协议加密访问网站，可激活客户端浏览器到网站服务器之间的"SSL加密通道"（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改。

2）认证服务器真实身份

网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

3）提升SEO搜索权重

重要的是要注意，从切换到HTTPS，谷歌，百度搜索引擎已经提示了其权重。

用户身份认证的主要目标包括：

1、确保交易者是交易者本人。避免与超过权限的交 易者进行交易。 

2、访问控制。一般来说，用户身份认证可通过三种基本方式或其组合方式来实现。

3、口令访问系统资源。

4、物理介质访问系统资源。

5、利用自身所具有的某些生物学特征访问系统资源。

身份认证使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

扩展资料：

基于共享密钥的身份验证：

当用户需要进行身份验证时，用户通过输入或通过保管有密码的设备提交由用户和服务器共同拥有的密码。服务器在收到用户提交的密码后，检查用户所提交的密码是否与服务器端保存的密码一致，如果一致，就判断用户为合法用户。如果用户提交的密码与服务器端所保存的密码不一致时，则判定身份验证失败。

使用基于共享密钥的身份验证的服务有很多，如：绝大多数的网络接入服务、绝大多数的BBS以及维基百科等等。

1、IDS功能概述

统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能，用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性。

图： 统一身份认证示意图

如上图所示，IDS通过WebService对外发布认证服务，实现了平台的无关性，能与各种主机、各种应用系统对接。另外，IDS还提供了一套标准的接口，保证的IDS与各种应用系统之间对接的易操作性。

IDS的主要功能如下：

1)用户管理 ：实现用户与组织创建、删除、维护与同步等功能；

2)用户认证：通过SOA服务，支持第三方认证系统；

3)单点登录 ：共享多应用系统之间的用户认证信息，实现在多个应用系统间自由切换；

4)分级管理 ：实现管理功能的分散，支持对用户、组织等管理功能的分级委托；

5)权限管理: 系统提供了统一的，可以扩展的权限管理及接口，支持第三方应用系统通过接口获取用户权限。

6)会话管理： 查看、浏览与检索用户登录情况，管理员可以在线强制用户退出当前的应用登录；

7)支持Windows、Linux、Solaris等操作系统；支持Tomcat、WebLogic、WebSphere等应用服务器；支持SQL Server等数据库系统；

2、IDS的结构

统一身份认证通过统一管理不同应用体系身份存贮方式、统一认证的方式，使同一用户在所有应用系统中的身份一致，应用程序不必关心身份的认证过程。

从结构上来看，统一身份认证系统由统一身份认证管理模块、统一身份认证服务器、身份信息存贮服务器三大部分组成。

其中统一身份认证管理模块由管理工具和管理服务组成，实现用户组管理、用户管理；管理工具实现界面操作，并把操作数据递交给管理服务器，管理服务器在修改存贮服务器中的内容。

统一身份认证服务器向应用程序提供统一的Webservice认证服务。它接收应用程序传递过来的用户名和密码，验证通过后把用户的认证令牌返回给应用程序。

身份存储服务器存储身份、权限数据。其中身份存储服务器可以选择关系型数据库、LDAP目录、AD等。另外可以将CA发放的数字证书存储在身份存储服务器。

如下图所示：

3、IDS的特点

1)方便实用

实现单点登录（SSO）。用户一次登录后，就可以依靠认证令牌在不同系统之间切换。

IDS所有的管理功能都是基于页面实现的，管理员只要通过浏览器即可完成管理工作。

提出了分级管理员的概念，使管理大量用户变成了可能。

2)跨平台

IDS的实现基于SOA架构

接口采用SOAP XML标准，可跨平台与多种类型的应用系统对接

3)支持多种身份存在方式

支持通用关系型数据库

LDAP目录

Microsoft Active Directory(AD)

4)安全可靠

系统能够集成成熟的认证体系：CA，可以保证交易和企业内部活动中的身份不可抵赖，用户签名无法伪造。

系统在数据传输过程中，支持HTTPS方式的数据加密传输，阻止数据被监听、分析。

系统能够定义管理多种权限级别策略。