数字证书将实体(如个人、组织或系统)绑定到特定的公钥和私钥对。 数字证书可以视为验证个人、系统或组织的标识的电子凭据。
各种类型的数字证书用于各种目的,例如:
保护用于对电子邮件进行签名的多用途 Internet 邮件扩展(S/MIME)数字证书。
用于对网络连接进行身份验证的安全套接字层(SSL)和 Internet 协议安全性(IPSec)数字证书。
用于登录到个人计算机的智能卡数字证书。
Windows 代码签名技术使用 X.509 代码签名证书,这是 Internet 工程工作队(IETF)拥有的标准。 代码签名证书允许软件发布者或分发服务器对软件进行数字签名。
证书包含在数字签名中,并验证签名的来源。 证书所有者的公钥位于证书中,用于验证数字签名。 这种做法可避免设置用于分发证书的中心设施。 证书所有者的私钥单独保留,并且仅对证书所有者知道。
软件发布者必须从证书颁发机构(CA)获取证书,该证书颁发机构保证证书的完整性。 通常,CA 要求软件发布者提供唯一的标识信息。 CA 使用此信息在颁发证书之前对请求者的标识进行身份验证。 软件发布者还必须同意遵守 CA 设置的策略。 如果未能执行此作,CA 可以吊销证书。
从 CA 获取证书后,软件发布者必须在计算机本地存储证书。 有关此过程的详细信息,请参阅 证书存储。