關於數位憑證

數位憑證 (或簡稱憑證) 是在網際網路上唯一識別人員和資源的電子檔案。憑證還可以使兩個實體之間能夠進行安全、機密的通訊。

憑證有很多種類型，例如個人憑證 (由個人使用) 和伺服器憑證 (用於透過安全套接字層 [SSL] 技術在伺服器和使用者端之間建立安全階段作業)。如需有關 SSL 的更多資訊，請參閱關於安全套接字層。

憑證以公開金鑰密碼學為基礎，公開金鑰密碼學使用數位金鑰 (很長的數位) 對資訊進行加密或編碼，從而使資訊只能被指定的接收者讀取。然後，接收者對資訊進行解密 (解碼)，即可讀取該資訊。

一個金鑰對包含一個公開金鑰和一個私密金鑰。所有者對公開金鑰進行發放並使任何人都可以使用該公開金鑰。但是所有者永遠不會發放私密金鑰；私密金鑰始終是保密的。由於金鑰與數學相關，因此使用了金鑰對中的一個金鑰進行加密的資料只能透過金鑰對中的另一個金鑰進行解密。

憑證就好像一本護照：它可以識別持有者並提供其他重要資訊。憑證由稱為憑證授權單位 (CA) 的可信任的協力廠商發行。CA 類似於護照申領辦公室：它將驗證憑證持有者的身份並對憑證進行簽署，以使他人無法偽造或竄改憑證。CA 對憑證進行簽署之後，持有者可以提供該憑證做為身份證明並建立加密的機密通訊。

最重要的是，憑證會將所有者的公開金鑰連結至所有者身份。與護照將照片連結至其持有者的個人資訊類似，憑證將公開金鑰連結至有關其所有者的資訊。

除了公開金鑰以外，憑證通常還包括以下資訊：

• 持有者的名稱和其他標識，例如使用憑證之 Web 伺服器的 URL 或個人的電子郵件地址。

• 發行憑證的 CA 的名稱。

• 過期日期。

數位憑證受 x.509 格式的技術規格約束。若要驗證 certificate 範圍中某個使用者的身份，認證服務將使用 X.509 憑證的一般名稱欄位做為主體名稱對 X.509 憑證進行驗證。

關於憑證鏈

Web 瀏覽器已預先配置了一組瀏覽器自動信任的根 CA 憑證。來自其他憑證授權單位的所有憑證都必須附帶憑證鏈，以驗證這些憑證是否有效。憑證鏈是由連續 CA 憑證發行的憑證序列，最終以根 CA 憑證結束。

憑證最初產生時是自簽署憑證。自簽署憑證是其發行者 (簽署者) 與主旨 (其公開金鑰由該憑證進行認證的實體) 相同的憑證。如果所有者向 CA 傳送憑證簽署請求 (CSR)，然後輸入回應，自簽署憑證將被憑證鏈取代。鏈的底部是由 CA 發行的、用於認證主旨的公開金鑰憑證 (回覆)。鏈中的下一個憑證是認證 CA 公開金鑰的憑證。通常，這是一個自簽署憑證 (即，來自 CA、用於認證其自身公開金鑰的憑證)，並且是鏈中的最後一個憑證。

在其他情況下，CA 可能會傳回一個憑證鏈。在此情況下，鏈的底部憑證是相同的 (由 CA 簽署的憑證，用於認證金鑰項目的公開金鑰)，但是鏈中的第二個憑證是由其他 CA 簽署的憑證，用於認證您向其傳送了 CSR 的 CA 的公開金鑰。然後，鏈中的下一個憑證是用於認證第二個 CA 金鑰的憑證，依此類推，直至到達自簽署的根憑證。因此，鏈中的每個憑證 (第一個憑證之後的憑證) 都需要認證鏈中前一個憑證的簽署者的公開金鑰。