憑證與私密金鑰

憑證與私密金鑰

● 憑證(公開金鑰憑證)概觀

公開金鑰憑證 (通常簡稱為憑證) 是數位式簽章敘述,它會將公開金鑰連結到有相應私密金鑰的使用者、裝置或服務的識別身分。憑證的主要好處之一是,對於需在存取之前已驗證的個別主體,主機已不必再為這些主體維護繁複的密碼。相反的,主機只會信任憑證簽發者。

大部分常用的憑證是以 X.509 v3 憑證標準為基準。

通常憑證包含下列資訊:
主體的公開金鑰值。
主體識別元資訊 (如名稱及電子郵件位址)。
有效期間 (憑證有效的時間長度)。
簽發者識別元資訊。
使用簽發者的數位簽章可驗證主體公開金鑰及主體識別元資訊之間連結的有效性。
憑證僅在指定的期間內有效;每個憑證都包含 [有效期自] 及 [有效期到] 等日期,它們也是有效期間的界限。一旦超過了憑證的有效期,必須由目前憑證到期的主體要求新的憑證。


● 憑證檔案格式

憑證匯入及匯出操作支援四種檔案格式。選擇符合需求的格式。

個人資訊交換 (PKCS #12)
個人資訊交換格式 (PFX,也稱為 PKCS #12) 支援憑證、私密金鑰及在憑證路徑中其他所有憑證的安全儲存。
PKCS #12 格式是唯一可以用來匯出憑證及其私密金鑰的檔案格式。

加密編譯訊息語法標準 (PKCS #7)
PKCS #7 格式支援憑證及在憑證路徑中所有憑證的安全儲存。

DER 編碼二位元 X.509
辨別編碼規則 (DER) 格式支援單一憑證的儲存。這個格式不支援私密金鑰或憑證路徑的儲存。

Base64 編碼 X.509
Base64 格式支援單一憑證的儲存。這個格式不支援私密金鑰或憑證路徑的儲存。


● 匯入或匯出憑證和私密金鑰

您必須以系統管理員的身分登入,才能執行這些步驟。
您可以匯入憑證,以便在電腦上使用;或者可以匯出憑證,以便在其他電腦上使用。

匯出憑證與私密金鑰

如果要建立憑證的備份,或在另一部電腦上使用此憑證,必須先匯出憑證與私密金鑰。匯出憑證時會將它放入檔案中以便您傳送至另一部電腦或置於安全位置。建議您將憑證匯出至卸除式媒體,例如磁碟片或 USB 快閃磁碟機。

1.按一下以開啟 [憑證管理員]。‌ 需要系統管理員權限如果提示您輸入系統管理員密碼或確認,請輸入密碼或提供確認資訊。
2.在您要匯出的憑證上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [匯出]。
3.在 [憑證匯出精靈] 中,按 [下一步]。
4.如果您將在其他電腦上使用此憑證,請按一下 [是,匯出私密金鑰];否則,請按一下 [否,不要匯出私密金鑰],然後按 [下一步] (只有在私密金鑰標示為可匯出,且您具有私密金鑰的存取權時,才會出現此選項)。
5.選取要使用的格式,然後按 [下一步]。
注意:視您要使用憑證的方式而定,選擇要使用的格式。對於具有私密金鑰的憑證,請使用 [個人資訊交換] 格式。如果要從某電腦將單一檔案中的多個憑證移至另一部電腦上,請使用 [密碼編譯訊息標準語法]。如果您需要在多個作業系統上使用憑證,請使用 [DER 編碼二位元 X.509] 格式。
6.如果您選擇匯出私密金鑰,請輸入用來加密金鑰的密碼,確認密碼,然後按 [下一步]。
7.匯出程序會建立用來儲存憑證的檔案。輸入檔案的名稱及位置 (包含整個路徑),或按一下 [瀏覽] 瀏覽到位置,然後輸入檔案名稱。
8.按一下 [完成]。

匯入憑證與私密金鑰

如果有人傳送憑證給您,或者您從某台電腦傳送憑證至另一台電腦,則必須先將此憑證與私密金鑰「匯入」才能使用。匯入憑證的程序會將其放入正確的憑證資料夾。
1.按一下以開啟 [憑證管理員]。‌ 需要系統管理員權限如果提示您輸入系統管理員密碼或確認,請輸入密碼或提供確認資訊。
2.按一下要匯入憑證的資料夾,按一下 [執行] 功能表,指向 [所有工作],然後按一下 [匯入]。
3.按 [下一步],然後依照指示執行。
注意:如果您在使用 [憑證匯入精靈] 時,按一下 [瀏覽] 以搜尋憑證,請注意,根據預設值,[開啟] 對話方塊只會顯示 X.509 憑證。若要匯入另一種憑證,請在 [開啟] 對話方塊中選取您要匯入的憑證類型。