CAcert.org was designed to be by the community for the community, and instead of placing all the labour on a central authority and in turn increasing the cost of certificates, the idea was to get community in conjunction with this website to have trust maintained in a dispersed and automated manner!
上去试了一下,发觉它提供的证书包括个人证书、domain证书、SSL证书等,都是免费的。
可以用于电子邮件签名、加密、SSL服务器、客户端等。
当然,认证的过程是严格的。要成为一个assurer,首先必须获得100点的assurer points。
另外还要通过所谓的Certificate Test. (我裸考过一次,60分,要80分才合格,100分才能获得资格)
-------------------------------------------
下面介绍一下如何申请与注册。
首先登陆www.cacert.org
按照页面连接进入Root certificate页面,倒入它的class 1和class 3的根证书,然后还要倒入crl(证书撤销列表)
firefox浏览器操作很方便,直接点击就可以自动下载与导入了。导入根证书时会要求用户确认,因为它是自签发的。
接下来选择join us。
然后会让你填一堆东西,其中密码有个评分制度,必须达到6分才能通过它的认证。
根据提示,必须要有足够长度、英文大小写、标点符号才能达到……我随便写了一个面目全非的,也不知有没可能记住。
点击下一步后,(我用的是firefox),firefox要求你输入一个密码用以保护证书(我不知有没理解错,后面好像都没用到),然后firefox生成一个私钥与公钥对。
cacert随之根据签发的信息生成你的帐号。必须登陆邮箱激活帐号。
最后可以去申请数字证书,登陆后发觉有3种证书,分别是个人证书、domain证书、服务器证书。
后面两种没有测试,我申请了个人证书。
申请的过程比较简单,按部就班就完成了。最后会给邮箱发一封确认邮件,点击连接自动添加证书到浏览器里
同时又需要一个密码来保护该证书……(好多密码啊……)
然后浏览器还提示要注意备份,于是我选择导出备份,然则此时又需要一个密码以保护该证书……
更新:关于导出文件.P12
In cryptography, PKCS#12 is one of the family of standards called Public-Key Cryptography Standards (PKCS), published by RSA Laboratories. It defines a file format commonly used to store private keys with accompanying public key certificates, protected with a password-based symmetric key, and is the successor to PFX.
File extension: .p12
原来这个导出文件包括私钥和包含公钥的数字证书。同时可以输入一个密码(对称的)以保护它。
最后,当证书成功保存在你的浏览器里时,就可以使用了!
进入这个网站时再也不用输入密码了 ~.~
直接点击证书登陆即可。
另外,这个证书好像只有半年有效期,到时要主动来更新。
并且在更新的页面上也有revoke的选项。(我申请了3次,前两次都不小心revoke了……)
-------------------------------------------
看了一下关于assure,发觉真的好麻烦。
Find an assurer: 离广州方圆1000里只能搜索到4个assurer,而且貌似都是HK的。
Michael B | 120km | 10 | contact by email only | Email Me |
Yat Hei C | 130km | 35 | Please contact me at xxxx | Email Me |
David W | 130km | 35 | Email Me | |
Kin Fung Y | 240km | 35 | I live in Hong Kong. Email me for assurance only. | Email Me |
如果要成为assurer,还必须通过律师等把资料寄到相关的委员会。
-------------------------------------------
总的来说,申请个人数字证书如果普及起来,达到可信网络的状态的话,应该相当不错吧。
可惜学习梯度似乎有点大,连自认为理解能力比较好的我也看得晕晕乎乎的(之前还花了整个星期看PKI的原理、概念)
感觉PKI要做起来也不容易,虽然从各方面来分析都相当合理。
然而我认为它的最大缺陷还是:最多仅能保证到网络传输安全,端点安全也尤为重要啊。
如果别人直接用你的浏览器,它在网上的身份就成为你了……
所以说自己的电脑要保护好才行。个人电脑一定要设密码。
No comments:
Post a Comment