什么是证书？

一个唯一的、经过数字签名的文件，它权威地标识了个人或组织的身份，被称为证书或数字证书。为了确认您正在使用的软件或网站的合法性，可以使用公钥密码学来验证其有效性。互联网上的可信CA（证书颁发机构）会签署证书，然后使用该机构的公钥进行验证。证书中包含证书持有者（网站运营商）的真实公钥，这对于建立加密的HTTPS通信至关重要。

当用户加载一个数字证书未被信誉良好的CA确认的软件或访问一个网站时，他们的操作系统或浏览器可能会发出警告。

什么是证书颁发机构 (CA)？

证书颁发机构是一个组织或实体，它验证公钥SSL/TLS加密证书的真实性。这些数字证书是信息文件，用于将特定实体与公钥进行加密连接。它们通过允许浏览器验证来自Web服务器的内容来建立在线内容的信任。

CA 是互联网公钥基础设施 (PKI) 中一个可靠且至关重要的信任锚，它们提供这些证书。它们有助于保护企业和用户的互联网安全。

CA 的主要目标是确认网站、域名和组织的合法性和可靠性，以便用户能够决定是否信任该业务并获取其数据，并确切地知道他们在网上与谁交流。

当 CA 为网站提供数字证书时，消费者可以确信他们正在连接到一个合法的网站，而不是黑客为窃取他们的个人数据或金钱而设立的虚假或仿冒网站。

数字证书是如何工作的？

数字证书的主要功能是验证其颁发给的实体的合法性。此外，它还可以保护使用它签名的文档的完整性，并加密和保护互联网通信，确保传输过程中的记录不被第三方更改。

数字证书包含有关授予它的组织的信息。这通常包括证书的名称、联系方式、隶属关系、域名、公钥、证书颁发和过期日期等。数字证书通常还包含颁发 CA 的名称及其数字签名。

数字证书上的数字签名表明该证书是由可信的 CA 创建的，并且没有被其他任何实体篡改。

数字证书有多少种类型？

CA 会生成除 SSL/TLS 以外的证书。它们还可以根据各种用途颁发其他证书，例如：

1. 代码签名证书 - 供软件开发人员和发行商对其产品分发进行认证。然后，最终用户可以使用它们来验证和确认从供应商或开发人员那里下载的软件。
2. 电子邮件签名证书 - 允许使用安全/多用途互联网邮件扩展协议进行安全的电子邮件附件，使实体能够签署、加密和验证电子邮件。
3. 对象签名证书 - 允许对任何类型的软件对象进行身份验证和签名。
4. 用户/客户端签名证书 - 或签名验证证书，帮助人们满足各种身份验证要求。

证书颁发机构如何颁发数字证书？

网站通过 SSL/TLS 证书进行验证和保护，这些证书还支持安全、加密的通信。通过在网络浏览器中显示一个挂锁图标，它们让消费者知道他们正在访问一个真实的网站。

SSL/TLS 证书是重要的 PKI 组件，需要数字证书才能工作。在这种情况下，CA 可以提供帮助。

公司或个人可以向 CA 申请数字证书。CA 首先会创建一个密钥对，其中包括：

1. 私钥 - 绝不应泄露给任何人，甚至 CA，并且始终保密；
2. 公钥 - 它在 CA 颁发的数字证书中有所引用 - 申请人还会创建一个证书签名请求 (CSR)，这是一个加密的文本文件，其中包含将包含在证书中的数据。

CSR 包含的数据取决于证书的预期用途和验证级别。通常，证书将被安装到的服务器或工作站会执行上述两种操作。