定义

• 数字证书这一名词并非是我国原有，而是来自于英文digital certificate的翻译。数字证书从本质上来说是一种电子文档，是由电子商务认证中心所颁发的一种较为权威与公正的证书，对电子商务活动有重要影响，例如我们在各种电子商务平台进行购物消费时，必须要在电脑上安装数字证书来确保资金的安全性。
• CA中心采用的是以数字加密技术为核心的数字证书认证技术，通过数字证书，CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容。
• 如果用户在电子商务的活动过程中安装了数字证书，那么即使其账户或者密码等个人信息被盗取，其账户中的信息与资金安全仍然能得到有效的保障。数字证书就相当于社会中的身份证，用户在进行电子商务活动时可以通过数字证书来证明自己的身份，并识别对方的身份，在数字证书的应用过程中CA中心具有关键性的作用，作为第三方机构，必须要保证其具有一定的权威性与公平性，当前阶段我国的CA中心的从业资格是由国家工业与信息化部所颁发，全国范围内只有约50家企业具有数字认证的从业资格。
• 数字证书也是身份鉴别的其中一种方式。数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。

权威机构的组成

• PKI：是公钥基础设施（Public Key Infrastructure）的简称，PKI利用公开**技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全
• CA：是PKI的核心，主要职务为签发证书、更新证书、管理证书（撤销、查询、审计、统计）、验证数字证书、黑名单认证（CRL）、在线认证（OCSP）
• RA：受理用户的数字证书申请（对证书申请者身份进行审核并提交CA制证）、提供证书生命周期的维护工作（受理用户证书申请、协助犯法用户证书、审核用户真实身份、受理证书更新请求、受理证书吊销）
• 证书库：证书存放管理，信息的存储库，提供了证书的保存、修改、删除和获取的能力
  CRL（Certificate Revocation List）:证书撤销列表，也称“证书黑名单”，存放被撤销证书的***，证书有效期期间因为某种原因（人员调动、私钥泄露等）导致证书不再真实可信，因此需要进行证书撤销

数字证书的申请过程

首先，把个人信息和公钥提交到某权威机构的证书中心，然后这个中心用自己的私钥将提交过来的信息加密二形成数字证书。
例如：Alice 和Susam通讯，Susam需要对Alice进行身份认证，并确保自己拿到的时Alice的公钥。这样就需要Alice申请数字证书

• Alice发送注册信息给RA
• RA审查过后发送给CA
• CA将Alice个人信息、Alice公钥可能还包括Alice的数字签名打包成数字证书
• CA将签发的数字证书下载凭证
• CA将下载凭证给RA
• CA将数字证书交给证书库保存
• RA将下载凭证交回给Alice
• Alice向CA提交下载证书申请和凭证
• Alice从CA下载证书
• Alice向Susam发送自己的证书
• Susam验证证书

数字证书验证

1. 首先会由浏览器使用以及存储在浏览器中的Root CA 的公钥来验证中间证书的数字签名，如果该证书的签发机构能够在可信任签发机构中找到，则为可信任证书。
2. 如果查询不到，则从授权信息访问信息段中获得该签发机构的数字证书，并判断该授权机构的数字证书的签发机构是否能够在可信任签发机构中找到，若能找到则该授权机构是可信的，并从授权机构的数字证书中获得授权机构的公钥，如果不在则重复这一步骤。如果最终都没有找到可信机构，则为不可信证书