7.1.1 自我簽署的憑證

自我簽署的憑證以閘道自己的私密金鑰簽署。自我簽署的憑證不安全，但是在已簽署的憑證可供使用之前，它們可以用來測試需要憑證的應用程式。自我簽署的憑證使用自己的憑證請求做為簽名，而不是 CA 的簽名。

透過 PKI 建立自我簽署的憑證時，有十個常用的欄位，其中六個是必要的，四個是選擇性的。序號、憑證簽名演算法識別碼、憑證發行者名稱、憑證有效期、公開金鑰及主旨名稱都是必要欄位。選擇性欄位是版本編號、兩個唯一識別碼及副檔名。這些選擇性欄位只會出現在版本 2 及版本 3 的憑證中。

必要的「有效」欄位指出憑證生效的日期，以及憑證過期的日期。NSS 憑證公用程式提供的過期日期的預設值是三個月。不過，在過期日期到達之前，憑證中的有效性資料會變成無法信賴。X.509 CRL 機制會為它們發出的憑證提供狀態更新，並管理憑證過期日期。此外，CA 也會將憑證過期強制設定為一或兩年。

當憑證過期或超過有效日期時，需要更新它。更新是一種透過發出新的憑證，延伸公開金鑰憑證宣告的資料連結的有效日期之動作或程序。可以使用以下指令來驗證憑證：

-V -n certname -b validity-time -u certusage [-e] [-l] [-d certdir]

以下範例顯示如何使用指令來驗證憑證：

certutil -V -n jsmith@netscape.com -b 9803201212Z -u SR -e -l -d certdir.

憑證資料庫工具顯示類似如下的結果：

Certificate:'jsmith@netscape.com' is valid.

或

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Expired certificate

或

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Certificate not approved for this operation