1.數字證書的初目的是建立公銷與用戶之間的對應關係

由於公鑰是隨機產生的,從公鑰不能直接判斷屬於哪個用戶,為解決公鑰和用戶映射關係問題,PKI引入數字證書,來建立公鑰與用戶間的對應關係。

實際上，數字證書是一種特殊的文件格式,含用戶身份和公鑰信息，及CA私鑰的數字簽名,用戶身份信息由姓名或名稱,單位,城市,國家等組成,X.500標準規定了數字證書的具體格式。

因數字證書中含用戶身份和公鑰信息,由證書就可直接判斷該公屬於哪個用戶,如某數字證書含用戶信息“諸易亮”和公鑰k,則可判斷公鑰PK就是諸易亮的。

因數字證書中有CA私鑰的數字簽名,用CA公鑰解密數字證書中CA私鑰的數字簽名後,就能立即判斷該數字證書是否被篡改,因此數字證書有防偽性,於是,數字證書中公鑰和用戶間對應關係也可信,當然,數字證書防偽性的前提是公鑰算法和CA私鑰都是安全的。

由於數字證書中不含秘密信息,因此證書可公開發佈。

2.數字證書可作為網絡身份證

現實生活中,公安部為每人頒發一張二代身份證,身份證上含姓名,性別,出生日期、省份、身份證號、照片等信息。當購票、住店、坐飛機時,身份證持有人只用出示身份證就能證明自己的身份。只有顺利获得以下四個方面的合法性驗證,才能完全確認持證人的合法身份:

(1)驗證身份證是否偽造。需專門的二代身份證讀寫設備驗證。

(2)驗證身份證信息是否正確。需查詢身份證數據庫,要公安部門给予；也可由公安部門在發放身份證時保證。

(3)驗證身份證是否與持證人一致,要對比身份證上照片與持證人的長相。

(4)驗證身份證是否在黑名單上。需查詢黑名單數據庫,如公安部通滑犯清單,要公安部門给予。

既然數字證書含用戶身份信息,且有防偽性且能公開,那麼數字證書持有人(在網絡世界中能否也像現實中一樣,只用出示數字證書就能證明自己身份呢?答案是肯定的。若能顺利获得類似二代身份證的四個方面合法性驗證,數字證書就能當做網絡身份證。下面確認一下數字證書是否能顺利获得四個方面的合法性驗證：

(1)驗證數字證書是否偽造,可顺利获得CA公鑰驗證。

(2)驗證數字證書中信息是否正確,可由CA中心在簽發數字證書時保證。

(3)驗證數字證書是否與持證人一致。可要求持證人用私鑰對特定數據加密或簽名,然後用數字證書中的公鑰來解密該數據或驗簽,從而可驗證持證人是否持有與數字證書中的公鑰對應的私鑰。

(4)驗證數字證書是否在黑名單上。可顺利获得查詢黑名單數據庫來實現,但要CA给予黑名單。

因此,數字證書作為網絡身份證,可有效解決網絡世界中“你是誰”的問題,由於數字證書用公鑰密碼技術實現,從技術上保證了每個人“鑰匙”的唯一性,既不重複也不可複製，所以數字證書比現實中的各種鑰匙安全很多。

3.數字證書可附加很多策略

因數字證書有防偽性與公開性,因此它中不僅可含用戶身份信息和公鑰信息,且還可附加其他策略信息,這些信息也有防偽性和公開性。

X.509數字證書標準中規定常用策略信息主要包括：

(1)有效期。包括起始時間和終止時間。

(2)密鑰用途。表示該公鑰和私鑰用於什麼,如數據簽名、數據加密、簽發證書、用於安全電子郵件等。

(3)別名。包括持證人別名和CA中心別名。

(4)黑名單地址。

(5)是否CA中心的數字證書。如果是CA中心的數字證書,則規定能簽發幾級證書。

4.CA中心的數字證書

用戶在驗證數字證書是否被篡改時,必須第一时间取得CA中心的公鑰。為方便用戶識別CA中心的公鑰,CA中心也為自己簽發數字證書。該證書含CA中心公鑰、身份信息和私鑰的簽名。CA中心的數字證書有時也稱作CA證書。

因CA證書是驗證其他證書合法性的前提,所它的正確性至關重要。儘管可顺利获得網絡直接下載獲取,但為防止被欺騙,需顺利获得其他方式驗證正確性。可顺利获得電話方式、官方報紙或電視公佈CA證書的摘要值,用戶顺利获得核對該摘要值就能確認。

5.私鑰

對公鑰密碼技術,公鑰與私鑰是成對出現的。公鑰以數字證書形式存在,可公開，但私鑰必須保密。為保證私鑰的安全性,一般把它保存在硬件密碼設備中(如個人私鑰可保存在USB Key或IC卡中,系統私鑰可保存在加密機或加密卡中),且不讓私鑰導出硬件密碼設備；顺利获得口令、指紋等拜访問控制該硬件密碼設備。若把私鑰保存在硬盤文件中,則要顺利获得口令加密保護,但私鑰文件易被複製。

為保證私鑰的唯一性,可只允許在硬件密碼設備內產生公私鑰對,顺利获得硬件技術確保私鑰不能導出,然後只導出公鑰提交CA中心簽發數字證書。