数字证书

身份验证对于保护通信至关重要。 用户必须能够向与其通信的人员证明其身份，并且必须能够验证他人的身份。 网络上标识的身份验证很复杂，因为通信方在通信时不会以物理方式满足。 这可以允许一个不道德的人截获消息或模拟另一个人或实体。 必须制定一种方法，以在通信过程中保持必要的信任级别。

数字证书 是一种通用凭据，提供验证标识的方法。 本部分概述了证书如何提供安全通信，以及如何使用 CryptoAPI 使用这些证书和管理这些证书。

证书是标识实体的一组数据。 受信任的组织将证书分配给个人或实体，该实体将公钥与个人相关联。 颁发证书的个人或实体称为该证书的主题。 颁发证书的受信任组织是 证书颁发机构（CA），称为证书的颁发者。 在验证证书使用者的身份后，可信 CA 才会颁发证书。

证书使用加密技术来解决通信之间缺乏物理接触的问题。 使用这些技术可以限制不道德的人拦截、改变或伪造邮件的可能性。 这些加密技术使证书难以修改。 因此，实体很难模拟其他人。

证书中的数据包括证书使用者 公钥/私钥对中的公钥/私钥对。 使用发件人私钥签名的邮件只能由邮件的收件人使用发件人的公钥检索。 可以在发件人证书的副本上找到此密钥。 从证书中检索具有 公钥的签名 证明签名是使用证书使用者 私钥生成的。 如果发送方保持警惕并保留了私钥机密，则接收方可以确信消息发送者的标识。

在网络上，通常有一个受信任的应用程序，称为 证书服务器。 在安全计算机上运行的 CA 管理证书服务器。 此应用程序有权访问其所有客户端的公钥。 证书服务器分配称为证书的消息，每个消息都包含其中一个客户端用户的公钥。 每个证书都使用 CA 的私钥进行签名。 因此，此类证书的接收方可以验证指定的 CA 是否已发送它。

数字证书还包括扩展和扩展属性，这些扩展属性提供有关证书主体的其他信息，例如使用者的电子邮件地址以及证书使用者可以执行的活动。