关于数字证书

　　客户端与服务端之间比较适合的通信方式是通过对称加密方式的公钥进行通信，但是公钥的传递是一个很大的问题，所以引入非对称加密的方式来进行公钥的传递，服务端发送自己的公钥给客户端，客户端通过服务端的公钥来对对称加密中使用的密钥进行加密之后传递给服务端，接下来客户端与服务端之间就通过共享的密钥进行通信。但是这种方式存在中间人攻击问题，无法防止中间人伪装成服务端与客户端进行通信，换句话说客户端无法认定当前拥有的公钥就是服务端的公钥，在这种情况下通过中间人的公钥加密客户端的密钥就会造成客户端密钥泄露。因此引入了CA认证，服务端花钱通过CA处领取自己的数字证书，数字证书中含有服务端的公钥以及CA的数字签名，这样客户端就可以通过CA的数字签名来确定正在和自己通信的确实是真的服务端，同时可以使用数字证书中的服务端公钥来对对称加密使用的秘钥进行加密之后传送给服务端。

　　当然数字证书中包含的不仅仅是数字签名和公钥，在超级账本框架中，一个Fabric网络中节点的数字证书还包含该节点所属的组织、身份、对资源的管理权限、对信息的查看权限等等，作用就像一个数字身份证，上面包含了方方面面的信息，CA通过私钥将节点与很多属性绑定在一起，只要CA的私钥不泄露，这些信息就是真实可靠未经篡改的。