关于数字证书

数字证书（或简称证书）是在 Internet 上唯一地标识人员和资源的电子文件。证书使两个实体之间能够进行安全、保密的通信。

证书有很多种类型，例如个人证书（由个人使用）和服务器证书（用于通过安全套接字层 [SSL] 技术在服务器和客户机之间建立安全会话）。有关 SSL 的更多信息，请参见关于安全套接字层。

证书是基于公钥加密的，公钥加密使用数字密钥对（很长的数字）对信息进行加密或编码，从而使信息只能被目标收件人读取。然后，收件人对信息进行解密（解码）即可读取该信息。

一个密钥对包含一个公钥和一个私钥。拥有者对公钥进行分发并使任何人都可以使用该公钥。但是拥有者永远不会分发私钥；私钥始终是保密的。由于密钥与数学相关，因此使用了密钥对中的一个密钥进行加密的数据只能通过密钥对中的另一个密钥进行解密。

证书就好像一本护照：它可以标识持有者并提供其他重要信息。证书由称为证书授权机构 (Certification Authority, CA) 的可信赖第三方发布。CA 类似于护照申领办公室：它将验证证书持有者的身份并对证书进行签名，以使他人无法伪造或篡改证书。CA 对证书进行签名之后，持有者可以提供该证书作为身份证明并建立经过加密的保密通信。

最重要的是，证书会将拥有者的公钥绑定到拥有者的标识。与护照将照片绑定到其持有者的个人信息类似，证书将公钥绑定到有关其拥有者的信息。

除了公钥以外，证书通常还包括以下信息：

• 持有者的姓名和其他标识，例如使用证书的 Web 服务器的 URL 或个人的电子邮件地址。

• 发布证书的 CA 的名称。

• 失效日期。

数字证书受 X.509 格式的技术规范约束。要检验 certificate 领域中某个用户的身份，验证服务将使用 X.509 证书的通用名称字段作为主体名称来检验 X.509 证书。

关于证书链

Web 浏览器已预先配置了一组浏览器自动信任的根 CA 证书。来自其他证书授权机构的所有证书都必须附带证书链，以检验这些证书的有效性。证书链是由一系列 CA 证书发出的证书序列，最终以根 CA 证书结束。

证书最初生成时是一个自签名证书。自签名证书是其签发者（签名者）与主题（其公钥由该证书进行验证的实体）相同的证书。如果拥有者向 CA 发送证书签名请求 (CSR)，然后输入响应，自签名证书将被证书链替换。链的底部是由 CA 发布的、用于验证主题的公钥的证书（回复）。链中的下一个证书是验证 CA 的公钥的证书。通常，这是一个自签名证书（即，来自 CA、用于验证其自身的公钥的证书）并且是链中的最后一个证书。

在其他情况下，CA 可能会返回一个证书链。在此情况下，链的底部证书是相同的（由 CA 签发的证书，用于验证密钥条目的公钥），但是链中的第二个证书是由其他 CA 签发的证书，用于验证您向其发送了 CSR 的 CA 的公钥。然后，链中的下一个证书是用于验证第二个 CA 的密钥的证书，依此类推，直至到达自签名的根证书。因此，链中的每个证书（第一个证书之后的证书）都需要验证链中前一个证书的签名者的公钥。