網上數字信息的傳輸安全,除要在通信傳輸中進行加密外,還一定得建立一種信任及信任驗證機制,也就是參與各方需得有一個可被驗證的標識,其即為數字證書。數字證書把實體的公開密鑰與其自身聯繫起來。為保證這一聯繫關係的真實性,須保證數字證書的來源可靠。這就需有一個各方均信任的组织,負責發放與管理數字證書。第三方组织就是證書認證组织。

證書認證组织也稱為電子認證服務组织。CA的職責是簽發、認證與管理證書的機關。它由本身的註冊審核體系,核查申請證書的用戶身份與其他有關信息,使用戶屬性和證書的真實性相同。認證中心專門負責發放數字證書。

CA通常採用多層次的分級結構。上級CA的職責是簽發與管理下級的證書,認證中心的最下一級直接面向最終用戶。若用戶想有一份自己的證書,則應先對CA提出申請。在CA說明申請者的身份之後,就為其分配一個公鑰,把這個公鑰和申請者的身份信息綁起來,並為之計算數字簽名後,形成證書發向申請者。

數字證書的頒發有如下步驟：

(1)用戶先得到自己的密鑰對,並把公鑰與一些個人身份信息傳至CA。

(2)CA在身份核實之後,會實施某些一定要的過程,來確認請求肯定是由用戶發送來的。之後,CA會發一個數字證書給用戶,該證書內含用戶的個人信息與其公鑰信息,同時附有CA的簽名信息。

(3)用戶可用其擁有的數字證書實施有關的各種活動。

CA用私鑰對證書內容進行數字簽名,保證了數字證書的完整性與不可篡改性。PKI應用系統接收數字證書之前,需驗證證書上的CA數字簽名,檢查證書的撤銷狀態。现在,最常用的撤銷狀態檢查方式是證書廢除列表(CRL)機制,而CRL也同樣需要數字簽名保護。CA私鑰是保護私鑰的機密性與可用性是安全的基礎。只要掌握CA私鑰就能簽發證書。而且,一般CRL也由CA來簽發。所以,若CA私鑰泄露,攻擊者就能簽發含有虛假信息的數字證書,PKI的安全服務也將完全失效。若CA私鑰不可用,就不能及時地簽發CRL以撤銷證書,也會給應用系統帶來風險。為了保護私鑰,CA系統一般會用專門的硬件密碼設備生成密鑰對,存儲私鑰並進行數字簽名。