X.509 數字認證

數字證書 的主要工作是提供主體 公鑰的存取權。 憑證也會確認憑證的公鑰屬於憑證的主體。 例如，證書頒發機構單位（CA）可以數字簽署包含某些用戶名稱的特殊訊息（憑證資訊），例如“Alice”和她的公鑰。 這必須以這樣的方式完成，任何人都可以驗證憑證是否已由 CA 以外的任何人簽發和簽署。 如果 CA 受信任，而且可以驗證 Alice 的憑證是由該 CA 所簽發，Alice 憑證的任何接收者都可以信任該憑證的 Alice 公鑰。

數字認證的一般實作牽涉到簽署憑證的程式。

此程式如下所示：

1. Alice 會將已簽署的 憑證要求傳送，其中包含她的名稱、公鑰，以及一些額外的資訊給 CA。
2. CA 會從 Alice 的要求建立訊息，m。 CA 會使用其私鑰簽署訊息、建立個別的簽章訊息，sig。 CA 會將訊息 m，並將簽章 sig傳回 Alice。 在一起，m 和 sig 窗體 Alice 的憑證。
3. Alice 將她的憑證的兩個部分傳送給 Bob，以便他存取她的公鑰。
4. Bob 會使用 CA 的公鑰來驗證簽章，sig。 如果簽章證明有效，他接受憑證中的公鑰作為 Alice 的公鑰。

如同任何 數位簽名，任何具有 CA 公鑰存取權的接收者都可以判斷特定 CA 是否簽署憑證。 此程式不需要存取任何秘密資訊。 剛才呈現的案例假設 Bob 可以存取 CA 的公鑰。 如果 Bob 有包含該公鑰的 CA 憑證複本，則 Bob 可以存取該金鑰。

X.509 數位證書不僅包含使用者的名稱和公鑰，也包含使用者的其他資訊。 這些憑證不僅僅是數位信任階層中的腳踏腳石。 它們可讓 CA 為憑證的接收者提供信任的方法，不僅信任憑證主體的公鑰，還能信任憑證主體的其他資訊。 其他資訊可能包括電子郵件地址、簽署指定值檔的授權，或授權成為 CA 並簽署其他憑證。

X.509 憑證和其他許多憑證都有有效的持續時間。 憑證可能會過期且不再有效。 CA 可能會因為許多原因而撤銷憑證。 為了處理撤銷，CA 會維護並散發稱為 證書吊銷清單 （CRL） 的撤銷憑證清單。 網路使用者存取 CRL 以判斷憑證的有效性。