怎样验证数字证书

　　怎样验证数字证书

　　数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任，并能够使用和证书绑定的公钥和交易对象通信，这是PKI认证机制的基本宗旨。但是，当网上交易者从交易对象那里直接获取，或通过访问CA证书库等不同途径得到了交易对象的数字证书以后，这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行，验证需要包括以下的内容：

　　·证书完整性验证。即确认这个证书没有被别人篡改过。这项验证可以通过验证证书中CA的数字签名而完成。

　　·证书可信性验证。即确认该证书是由一个可信的CA颁发的。为此验证者必须验证证书链，即从对方的CA信任域的底层开始，逐层向上查询，一直追溯到信任链的终点，通常是根CA为止，找到权威的根CA的签名，这才完成验证。(有关证书链的概念，可参阅《晨曦》07年第 期知识园地“证书链是怎么回事”一文。)

　　·证书有效性验证。即确认该证书是否已经失效。

　　·有关证书使用策略限制的验证。即确认证书的当前使用有没有超出证书中规定的策略限制。

　　本文将对证书有效性的管理和验证作一番探讨。