憑證和公開金鑰

憑證服務是公開金鑰基礎結構 (PKI) 的一個基礎，可提供保護及驗證資訊的方法。 憑證持有者、憑證持有者身分識別和憑證持有者 公開金鑰 之間的關聯性，是 PKI 的重要部分。 此基礎結構是由下列部分所組成：

• 公開/私密金鑰組
• 憑證要求
• 憑證授權單位單位
• 憑證
• 憑證撤銷清單
• 用於加密的公開金鑰
• 用於簽章驗證的公開金鑰
• Microsoft 憑證服務角色

公開/私密金鑰組

PKI 需要使用 公開/私密金鑰組。 公開/私密金鑰組的數學超出本檔的範圍，但請務必注意公用與私密金鑰之間的功能關聯性。 PKI 密碼編譯演算法會 使用加密訊息接收者的 公開金鑰 來加密資料，以及相關的 私密金鑰 ，以及只使用相關的私密金鑰來解密加密的訊息。

同樣地，下面更詳細描述的內容 數位簽章 會使用簽署者的私密金鑰來建立。 每個人都可使用的對應公開金鑰來驗證此簽章。 必須維護私密金鑰的機密性，因為架構在私密金鑰遭到入侵之後會分開。

假設有足夠的時間和資源，就可以入侵公開/私密金鑰組，也就是說，可以探索私密金鑰。 金鑰越長，使用暴力密碼破解來探索私密金鑰越困難。 實際上，足夠的強式金鑰可用來及時判斷私密金鑰，使公開金鑰基礎結構成為可行的安全性機制。

私密金鑰可以以受保護的格式儲存在磁片上，在此情況下，它只能與該特定電腦搭配使用，除非實際移至另一部電腦。 替代方法是在智慧卡上擁有金鑰，可在具有智慧卡閱讀機和支援軟體的不同電腦上使用。

數位憑證主體的公開金鑰，但不是私密金鑰，會包含在 憑證要求中。 (因此，在提出憑證要求之前，必須有公開/私密金鑰組。) 該公開金鑰會成為核發憑證的一部分。

憑證要求

發行憑證之前，必須產生 憑證要求 。 此要求適用于一個實體，例如使用者、電腦或應用程式。 如需討論，請假設實體是自己。 您的身分識別詳細資料會包含在憑證要求中。 產生要求之後，它會提交至 憑證授權單位單位 (CA) 。 然後，CA 會使用您的身分識別資訊來判斷要求是否符合 CA 簽發憑證的準則。 如果 CA 核准要求，它會發出憑證給您，作為要求中名為 的實體。

憑證授權單位單位

在發出憑證之前，CA 會驗證您的身分識別。 發行憑證時，您的身分識別會系結至包含公開金鑰的憑證。 您的憑證也包含 CA 的數位簽章 (，可由任何收到憑證) 的人員驗證。

因為您的憑證包含發行 CA 的身分識別，所以信任此 CA 的感興趣物件可以將該信任延伸至您的憑證。 憑證的發行不會建立信任，而是會傳輸信任。 如果憑證取用者不信任發行 CA，則不會 (或至少不應該) 信任您的憑證。

已簽署憑證鏈結也允許信任轉移給其他 CA。 這可讓使用不同 CA 的合作物件仍能夠信任憑證 (前提是鏈結中有常見的 CA，也就是兩方) 信任的 CA。

憑證

除了您的公開金鑰和發行 CA 的身分識別之外，發行的憑證還包含金鑰和憑證用途的相關資訊。 此外，它包含 CA 撤銷憑證清單的路徑，並指定憑證有效期間 (開始和結束日期) 。

假設憑證取用者信任憑證的發行 CA，憑證取用者必須藉由比較憑證的開始和結束日期與目前時間，以及檢查憑證不在 CA 撤銷憑證清單上的憑證是否仍然有效。

憑證撤銷清單

假設憑證在有效的期間內使用，且憑證取用者信任發行 CA，則憑證取用者在使用憑證之前，會再檢查一個專案： 憑證撤銷清單 (CRL) 。 憑證取用者會檢查 CA 的 CRL (憑證中包含為延伸模組的路徑) ，以確保您的憑證不在已撤銷的憑證清單中。 CRL 存在，因為憑證已過期，但無法再受到信任。 CA 會定期發佈更新的 CRL。 憑證取用者負責在考慮憑證可信任之前，先比較憑證與目前的 CRL。

用於加密的公開金鑰

如果寄件者想要先加密郵件再傳送給您，寄件者會先擷取您的憑證。 在傳送者判斷 CA 受信任且憑證有效且未撤銷之後，傳送者會使用您的公開金鑰 (重新叫用，這是憑證) 密碼編譯演算法的一部分，以將 純文字 訊息加密為 加密文字。 當您收到加密文字時，您會使用私密金鑰來解密加密文字。

如果協力廠商攔截加密文字電子郵件訊息，協力廠商將無法解密，而無法存取您的 私密金鑰。

請注意，此處所列的大部分活動都是由軟體處理，而不是由使用者直接處理。

用於簽章驗證的公開金鑰

數位簽章會用來確認訊息尚未改變，以及做為訊息寄件者身分識別的確認。 此數位簽章取決於您的私密金鑰和訊息內容。 使用訊息作為輸入和私密金鑰，密碼編譯演算法會建立數位簽章。 簽署程式不會變更訊息的內容。 在檢查憑證的有效性、發行 CA 和撤銷狀態之後，收件者可以使用您的公開金鑰 (，) 判斷簽章是否對應至郵件內容，以及判斷訊息是否由您傳送。

如果協力廠商攔截預定的訊息，將它變更 (甚至稍微) ，並將它和原始簽章轉寄給收件者，在檢查郵件和簽章時，收件者就能夠判斷郵件是否可疑。 同樣地，如果協力廠商建立訊息，並以偽裝數位簽章傳送給您，收件者將能夠使用公開金鑰來判斷訊息和簽章不會彼此對應。

數位簽章也支援不可否認性。 如果已簽署郵件的寄件者拒絕傳送郵件，收件者可以使用簽章來拒絕該宣告。

請注意，此處所列的大部分活動也會由軟體處理，而不是由使用者直接處理。

Microsoft 憑證服務角色

Microsoft 憑證服務具有發行憑證或拒絕憑證要求的角色，由原則模組指示，負責確保憑證要求者的身分識別。 憑證服務也可讓您撤銷憑證，以及發佈 CRL。 例如，憑證服務也可以集中散發 (到發行的憑證) 目錄服務。 發行、散發、撤銷及管理憑證以及發行 CRL 的能力，可為公開金鑰基礎結構提供必要的功能。