数字证书 的主要任务是提供对使用者 公钥的访问权限。 该证书还确认证书的公钥属于证书的使用者。 例如,证书颁发机构(CA)可以对包含某些用户名称(例如“Alice”和她的公钥)的特殊消息(证书信息)进行数字签名。 必须以这样一种方式完成此作,以便任何人都可以验证证书是否已颁发并被 CA 以外的任何人都签名。 如果 CA 受信任且可以验证 Alice 的证书是否由该 CA 颁发,则 Alice 证书的任何接收方都可以信任 Alice 的公钥。
数字认证的典型实现涉及对证书进行签名的过程。
此过程如下所示:
- Alice 将签名的 证书请求发送到,其中包含她的姓名、公钥,以及一些其他信息。
- CA 从 Alice 的请求创建一条消息,m。 CA 使用其私钥对消息进行签名,创建单独的签名消息,ig。 CA 将消息(m)和签名(ig)返回到 Alice。 m,ig 表单 Alice 的证书。
- Alice 将她的证书的两部分都发送给 Bob,以授予他访问其公钥的访问权限。
- Bob 使用 CA 的公钥验证签名,ig。 如果签名证明有效,则他接受证书中的公钥作为 Alice 的公钥。
与任何 数字签名一样,任何有权访问 CA 公钥的接收方都可以确定特定 CA 是否对证书签名。 此过程不需要访问任何机密信息。 刚才呈现的方案假定 Bob 有权访问 CA 的公钥。 如果 Bob 有包含该公钥的 CA 证书的副本,Bob 将有权访问该密钥。
X.509 数字证书不仅包括用户名和公钥,还包括有关用户的其他信息。 这些证书不仅仅是数字信任层次结构中的垫脚石。 它们使 CA 能够为证书的接收方提供信任证书使用者的公钥,而且还允许证书的接收方提供有关证书主体的其他信息。 其他信息可能包括电子邮件地址、对给定值的文档进行签名的授权,或授权成为 CA 并签署其他证书。
X.509 证书和其他许多证书具有有效的持续时间。 证书可以过期,不再有效。 CA 可以出于多种原因吊销证书。 为了处理吊销,CA 维护并分发名为 证书吊销列表(CRL)的已吊销证书列表。 网络用户访问 CRL 以确定证书的有效性。