隨著社會(huì)越來(lái)越發(fā)達(dá)，大家都選擇在網(wǎng)絡(luò)上汲取相關(guān)知識(shí)內(nèi)容，比如ca認(rèn)證是什么(ca數(shù)字證書(shū)初始密碼)，為了更好的解答大家的問(wèn)題，小編也是翻閱整理了相應(yīng)內(nèi)容，下面就一起來(lái)看一下吧！

(相關(guān)資料圖)

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）

一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。

簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI技術(shù)是信息安全技術(shù)的核心。

一個(gè)PKI體系由終端實(shí)體、認(rèn)證機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)和證書(shū)/CRL存儲(chǔ)庫(kù)四部分共同組成：

1、終端實(shí)體，是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個(gè)人、組織、設(shè)備（如路由器、交換機(jī)）或計(jì)算機(jī)中運(yùn)行的進(jìn)程。

2、認(rèn)證機(jī)構(gòu)CA（Certificate Authority），是PKI的信任基礎(chǔ)，是一個(gè)用于簽發(fā)并管理數(shù)字證書(shū)的可信實(shí)體。其作用包括：發(fā)放證書(shū)、規(guī)定證書(shū)的有效期和通過(guò)發(fā)布CRL確保必要時(shí)可以廢除證書(shū)。

3、注冊(cè)機(jī)構(gòu)RA（Registration Authority），RA是CA的延伸，可作為CA的一部分，也可以獨(dú)立。RA功能包括個(gè)人身份審核、CRL管理、密鑰對(duì)產(chǎn)生和密鑰對(duì)備份等。PKI國(guó)際標(biāo)準(zhǔn)推薦由一個(gè)獨(dú)立的RA來(lái)完成注冊(cè)管理的任務(wù)，這樣可以增強(qiáng)應(yīng)用系統(tǒng)的安全性。

4、證書(shū)/CRL存儲(chǔ)庫(kù)，負(fù)責(zé)證書(shū)和CRL的存儲(chǔ)、管理、查詢(xún)等。

概念和術(shù)語(yǔ)

公鑰加密算法：

公鑰加密算法，又叫非對(duì)稱(chēng)加密算法或雙鑰加密算法，是指加密密鑰和解密密鑰為兩個(gè)不同密鑰的密碼算法。

公鑰加密算法使用了一對(duì)密鑰：一個(gè)用于加密信息，另一個(gè)則用于解密信息，其中加密密鑰公之于眾，稱(chēng)為公鑰；解密密鑰由解密人私密保存，稱(chēng)為私鑰。用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。

RSA密鑰對(duì)：

數(shù)字證書(shū)機(jī)制依賴(lài)于公共密鑰體制，PKI系統(tǒng)中應(yīng)用最廣泛的公共密鑰體制為RSA加密系統(tǒng)。

RSA加密系統(tǒng)使用一個(gè)非對(duì)稱(chēng)的RSA密鑰對(duì)，包括一個(gè)RSA公鑰和一個(gè)RSA私鑰。當(dāng)實(shí)體申請(qǐng)數(shù)字證書(shū)時(shí)，證書(shū)請(qǐng)求中必須包含RSA公鑰信息。

RSA密鑰對(duì)的模數(shù)，即RSA密鑰的長(zhǎng)度（單位bit）。模數(shù)越大，密鑰越安全，同時(shí)設(shè)備生成密鑰、加密、解密花費(fèi)的時(shí)間也越長(zhǎng)。

數(shù)字指紋：

數(shù)字指紋是指通過(guò)某種算法對(duì)數(shù)據(jù)信息進(jìn)行綜合計(jì)算得到的一個(gè)固定長(zhǎng)度的數(shù)字序列，這個(gè)序列有時(shí)也稱(chēng)信息摘要，常采用單向哈希算法對(duì)原始數(shù)據(jù)進(jìn)行散列計(jì)算得出數(shù)字指紋。

數(shù)字簽名：

數(shù)字簽名是指信息發(fā)送方用自己的私鑰對(duì)原始數(shù)據(jù)的數(shù)字指紋進(jìn)行加密后所得的數(shù)據(jù)。

信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后，獲得數(shù)字指紋，然后與自己用同樣算法對(duì)原始數(shù)據(jù)計(jì)算生成的數(shù)據(jù)指紋進(jìn)行匹配，根據(jù)匹配結(jié)果，便可確定原始信息是否被篡改。

數(shù)字證書(shū)：

數(shù)字證書(shū)是一個(gè)經(jīng)認(rèn)證機(jī)構(gòu)CA（Certificate Authority）簽名的，包含實(shí)體公開(kāi)密鑰及相關(guān)身份信息的文件，它建立了實(shí)體身份信息與其公鑰的關(guān)聯(lián)，是使用PKI系統(tǒng)的用戶(hù)建立安全通信的信任基礎(chǔ)。CA對(duì)數(shù)字證書(shū)的簽名保證了證書(shū)的合法性和權(quán)威性。

數(shù)字證書(shū)中包含多個(gè)字段，包括證書(shū)簽發(fā)者的名稱(chēng)、主體的公鑰信息、CA對(duì)證書(shū)的數(shù)字簽名、證書(shū)的有效期等。

認(rèn)證機(jī)構(gòu)CA（Certificate Authority）

CA是PKI的信任基礎(chǔ)，是一個(gè)用于簽發(fā)并管理數(shù)字證書(shū)的可信實(shí)體。

其作用（功能）包括：發(fā)放證書(shū)、規(guī)定證書(shū)的有效期和通過(guò)發(fā)布CRL確保必要時(shí)可以廢除證書(shū)。

認(rèn)證機(jī)構(gòu)CA的層次

認(rèn)證機(jī)構(gòu)是PKI體系的核心，通常采用多層次的分級(jí)結(jié)構(gòu)，根據(jù)證書(shū)頒發(fā)機(jī)構(gòu)的層次，可以劃分為根CA和從屬CA。

上級(jí)認(rèn)證機(jī)構(gòu)負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證機(jī)構(gòu)的證書(shū)，最下一級(jí)的認(rèn)證機(jī)構(gòu)直接面向用戶(hù)。

每一份數(shù)字證書(shū)都與上一級(jí)的數(shù)字簽名證書(shū)相關(guān)聯(lián)，最終通過(guò)證書(shū)鏈追溯到一個(gè)根認(rèn)證機(jī)構(gòu)，根CA通常持有一個(gè)自簽名證書(shū)。

在建立CA時(shí)，從屬CA要通過(guò)上級(jí)CA獲得自己的CA證書(shū)，而根CA則是創(chuàng)建自簽名的證書(shū)。

1、根CA是公鑰體系中第一個(gè)證書(shū)頒發(fā)機(jī)構(gòu)，它是信任的起源。根CA可以為其它CA頒發(fā)證書(shū)，也可以為其它計(jì)算機(jī)、用戶(hù)、服務(wù)頒發(fā)證書(shū)。對(duì)大多數(shù)基于證書(shū)的應(yīng)用程序來(lái)說(shuō)，使用證書(shū)的認(rèn)證都可以通過(guò)證書(shū)鏈追溯到根。

2、從屬CA必須從根CA或者從一個(gè)已由根CA授權(quán)可頒發(fā)從屬CA證書(shū)的從屬CA處獲取證書(shū)。

認(rèn)證機(jī)構(gòu)CA的類(lèi)型

認(rèn)證機(jī)構(gòu)CA的類(lèi)型，包括三種：

1、自簽名CA：在自簽名CA中，證書(shū)中的公鑰和用于驗(yàn)證證書(shū)簽名的公鑰是相同的。

2、從屬CA：在從屬CA中，證書(shū)中的公鑰和用于驗(yàn)證證書(shū)簽名的公鑰是不同的。

3、根CA：根CA是一種特殊的CA，它受到客戶(hù)無(wú)條件地信任，位于證書(shū)層次結(jié)構(gòu)的最高層。所有證書(shū)鏈均終止于根CA。根CA必須對(duì)它自己的證書(shū)簽名，因?yàn)樵谧C書(shū)層次結(jié)構(gòu)中再也沒(méi)有更高的認(rèn)證機(jī)構(gòu)。

認(rèn)證機(jī)構(gòu)CA的功能

CA的核心功能就是發(fā)放和管理數(shù)字證書(shū)，包括：證書(shū)的頒發(fā)、證書(shū)的更新、證書(shū)的撤銷(xiāo)、證書(shū)的查詢(xún)、證書(shū)的歸檔、CRL的發(fā)布等。

CA的核心功能，具體描述如下：

1、證書(shū)申請(qǐng)?zhí)幚恚航邮?、?yàn)證用戶(hù)數(shù)字證書(shū)的申請(qǐng)。

2、證書(shū)審批處理：確定是否接受用戶(hù)數(shù)字證書(shū)的申請(qǐng)。

3、證書(shū)頒發(fā)處理：向申請(qǐng)者頒發(fā)或拒絕頒發(fā)數(shù)字證書(shū)。

4、證書(shū)更新處理：接收、處理用戶(hù)的數(shù)字證書(shū)更新請(qǐng)求。

5、證書(shū)查詢(xún)和撤銷(xiāo)處理：接收用戶(hù)數(shù)字證書(shū)的查詢(xún)、撤銷(xiāo)。

6、發(fā)布CRL：產(chǎn)生和發(fā)布證書(shū)廢除列表（CRL）。

7、證書(shū)的歸檔：數(shù)字證書(shū)的歸檔。

8、密鑰的備份和恢復(fù)。

9、歷史數(shù)據(jù)歸檔。

注冊(cè)機(jī)構(gòu)RA（Registration Authority）

注冊(cè)機(jī)構(gòu)RA的功能：

RA是數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)，RA是CA面對(duì)用戶(hù)的窗口，是CA的證書(shū)發(fā)放、管理功能的延伸，它負(fù)責(zé)接受用戶(hù)的證書(shū)注冊(cè)和撤銷(xiāo)申請(qǐng)，對(duì)用戶(hù)的身份信息進(jìn)行審查，并決定是否向CA提交簽發(fā)或撤銷(xiāo)數(shù)字證書(shū)的申請(qǐng)。

RA作為CA功能的一部分，實(shí)際應(yīng)用中，通常RA并不一定獨(dú)立存在，而是和CA合并在一起。RA也可以獨(dú)立出來(lái)，分擔(dān)CA的一部分功能，減輕CA的壓力，增強(qiáng)CA系統(tǒng)的安全性。

證書(shū)吊銷(xiāo)列表CRL

由于實(shí)體名稱(chēng)的改變、私鑰泄漏或業(yè)務(wù)中止等原因，需要存在一種方法將現(xiàn)行的證書(shū)撤消，即撤消公開(kāi)密鑰及相關(guān)的實(shí)體身份信息的綁定關(guān)系。在PKI中，所使用的這種方法為證書(shū)吊銷(xiāo)列表CRL（Certificate Revocation List）。

任何一個(gè)證書(shū)被廢除以后，CA就要發(fā)布CRL來(lái)聲明該證書(shū)是無(wú)效的，并列出所有被廢除（吊銷(xiāo)）的證書(shū)的序列號(hào)。CRL提供了一種檢驗(yàn)證書(shū)有效性的方式。

當(dāng)一個(gè)CRL的撤消信息過(guò)多時(shí)會(huì)導(dǎo)致CRL的發(fā)布規(guī)模變得非常龐大，且隨著CRL大小的增加，網(wǎng)絡(luò)資源的使用性能也會(huì)隨之下降。為了避免這種情況，允許一個(gè)CA的撤消信息通過(guò)多個(gè)CRL發(fā)布出來(lái)，并且使用CRL發(fā)布點(diǎn)CDP（CRL Distribution Point）來(lái)指出這些CRL的位置。

CRL發(fā)布點(diǎn)：

CRL發(fā)布點(diǎn)CDP，是數(shù)字證書(shū)中的信息，它描述了如何獲取證書(shū)的CRL列表。

最常用的CDP是HTTP URL和LDAP URL，也可以是其他類(lèi)型的URL或LDAP目錄說(shuō)明。一個(gè)CDP包含一個(gè)URL或目錄說(shuō)明。

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），工作過(guò)程：

針對(duì)一個(gè)使用PKI的網(wǎng)絡(luò)，配置PKI的目的就是為指定的實(shí)體向CA申請(qǐng)一個(gè)本地證書(shū)，并由設(shè)備對(duì)證書(shū)的有效性進(jìn)行驗(yàn)證。

1、實(shí)體向注冊(cè)機(jī)構(gòu)RA提出證書(shū)申請(qǐng)。

2、RA審核實(shí)體身份，將實(shí)體身份信息和公開(kāi)密鑰以數(shù)字簽名的方式發(fā)送給CA。

3、CA驗(yàn)證數(shù)字簽名，同意實(shí)體的申請(qǐng)，頒發(fā)證書(shū)。

4、RA接收CA返回的證書(shū)，通知實(shí)體證書(shū)發(fā)行成功。

5、實(shí)體獲取證書(shū)，利用該證書(shū)可以與其它實(shí)體使用加密、數(shù)字簽名進(jìn)行安全通信。

6、實(shí)體希望撤消自己的證書(shū)時(shí)，向CA提交申請(qǐng)，CA批準(zhǔn)實(shí)體撤消證書(shū)，并更新CRL。

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），工作原理：

PKI的目標(biāo)就是要充分利用公鑰密碼學(xué)的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。

對(duì)于公鑰加密算法，由于公鑰是公開(kāi)的，需要在網(wǎng)上傳送，故公鑰的管理問(wèn)題就是公鑰加密體制所需要解決的關(guān)鍵問(wèn)題。

目前，PKI系統(tǒng)中引出的數(shù)字證書(shū)機(jī)制就是一個(gè)很好的解決方案。

PKI的核心技術(shù)就圍繞著數(shù)字證書(shū)的申請(qǐng)、頒發(fā)、使用與撤銷(xiāo)等整個(gè)生命周期進(jìn)行展開(kāi)。

證書(shū)的注冊(cè)

證書(shū)注冊(cè)，即證書(shū)申請(qǐng)，就是一個(gè)實(shí)體向CA自我介紹并獲取數(shù)字證書(shū)的過(guò)程。實(shí)體向CA提供身份信息，以及相應(yīng)的公鑰，這些信息將成為頒發(fā)給該實(shí)體證書(shū)的主要組成部分。

實(shí)體向CA提出證書(shū)申請(qǐng)，有離線(xiàn)和在線(xiàn)兩種方式：

1、離線(xiàn)申請(qǐng)方式下，CA允許申請(qǐng)者通過(guò)帶外方式（如電話(huà)、磁盤(pán)、電子郵件等）向CA提供申請(qǐng)信息。

2、在線(xiàn)證書(shū)申請(qǐng)有手工發(fā)起和自動(dòng)發(fā)起兩種方式。

證書(shū)的注冊(cè)方式（常用的方式）：

1、PKCS#10方式（離線(xiàn)注冊(cè)方式），當(dāng)無(wú)法通過(guò)SCEP協(xié)議向CA在線(xiàn)申請(qǐng)證書(shū)時(shí)，可以使用PKCS#10格式打印出本地的證書(shū)申請(qǐng)信息。用戶(hù)以PKCS#10格式保存證書(shū)申請(qǐng)信息到文件中，并通過(guò)帶外方式發(fā)送給CA進(jìn)行證書(shū)申請(qǐng)。

2、SCEP方式（在線(xiàn)注冊(cè)/下載方式），通過(guò)簡(jiǎn)單證書(shū)注冊(cè)協(xié)議SCEP（Simple Certification Enrollment Protocol），利用HTTP協(xié)議與CA或RA通信，發(fā)送證書(shū)注冊(cè)請(qǐng)求或證書(shū)下載請(qǐng)求消息，下載CA/RA證書(shū)、本地證書(shū)，或者申請(qǐng)本地證書(shū)。SCEP方式是最常用的證書(shū)自動(dòng)注冊(cè)方式。

3、自簽名證書(shū)，PKI設(shè)備為自己頒發(fā)一個(gè)自簽名證書(shū)，即證書(shū)簽發(fā)者和證書(shū)主題相同。

證書(shū)的更新

設(shè)備在證書(shū)即將過(guò)期前，先申請(qǐng)一個(gè)證書(shū)作為“影子證書(shū)”，在當(dāng)前證書(shū)過(guò)期后，影子證書(shū)成為當(dāng)前證書(shū)，完成證書(shū)更新功能。

申請(qǐng)“影子證書(shū)”的過(guò)程，實(shí)質(zhì)上是一個(gè)新的證書(shū)注冊(cè)的過(guò)程。

證書(shū)更新功能需要CA服務(wù)器的支持，即CA服務(wù)器必須支持證書(shū)更新功能。

證書(shū)的下載

證書(shū)下載是指終端實(shí)體通過(guò)SCEP協(xié)議，向CA服務(wù)器查詢(xún)并下載已頒發(fā)的證書(shū)，或者通過(guò)CDP指定機(jī)制和地址，下載已頒發(fā)的證書(shū)。該證書(shū)可以是自己的證書(shū)，也可以是CA證書(shū)，或其他終端實(shí)體的證書(shū)。

證書(shū)的撤銷(xiāo)

由于用戶(hù)身份、用戶(hù)信息或者用戶(hù)公鑰的改變、用戶(hù)業(yè)務(wù)中止等原因，用戶(hù)需要將自己的數(shù)字證書(shū)撤消，即撤消公鑰與用戶(hù)身份信息的綁定關(guān)系。

在PKI中，CA撤銷(xiāo)證書(shū)使用的方法為證書(shū)吊銷(xiāo)列表CRL，終端實(shí)體撤銷(xiāo)自己的證書(shū)是通過(guò)帶外方式申請(qǐng)的。

為了撤銷(xiāo)自己的證書(shū)，終端實(shí)體必須采用帶外方式通知CA服務(wù)器管理員。

管理員要求終端實(shí)體提供自己的Challenge Password（Challenge Password在證書(shū)注冊(cè)時(shí)已作為PKCS10證書(shū)請(qǐng)求的屬性發(fā)給了CA）。

如果終端實(shí)體提供的Challenge Password與CA服務(wù)器保存的一致，CA發(fā)布CRL來(lái)撤銷(xiāo)證書(shū)。

CRL的下載

CA/RA不會(huì)主動(dòng)把CRL發(fā)布給終端實(shí)體，而是由終端實(shí)體主動(dòng)發(fā)起CRL查詢(xún)。

有兩種下載CRL的方法：CDP方式、SCEP方式。

CA如果支持CDP，在為終端實(shí)體頒發(fā)證書(shū)時(shí)，把CRL發(fā)布點(diǎn)的URL地址編碼成CDP屬性封裝在證書(shū)中，終端實(shí)體根據(jù)CDP來(lái)下載CRL。

如果證書(shū)中未攜帶CDP信息，并且設(shè)備本地也沒(méi)有配置CDP的URL地址，則設(shè)備通過(guò)SCEP協(xié)議向CA服務(wù)器請(qǐng)求CRL。終端實(shí)體通過(guò)SCEP協(xié)議獲取證書(shū)時(shí)，以證書(shū)簽發(fā)者名字和證書(shū)序列號(hào)作為查詢(xún)關(guān)鍵字。

證書(shū)狀態(tài)檢查方式

當(dāng)終端實(shí)體驗(yàn)證對(duì)端證書(shū)時(shí)，經(jīng)常需要檢查對(duì)端證書(shū)是否有效。對(duì)端證書(shū)是否過(guò)期、是否被加入證書(shū)黑名單中，即檢查證書(shū)的狀態(tài)。

通常終端實(shí)體檢查證書(shū)狀態(tài)的方式有三種：CRL方式、OCSP方式、None方式。

CRL方式：

如果CA支持CDP，那么當(dāng)CA簽發(fā)證書(shū)時(shí)，在證書(shū)中會(huì)包含CDP信息，描述了獲取該證書(shū)CRL的途徑和方式。終端實(shí)體利用CDP中指定的機(jī)制和地址來(lái)定位和下載CRL。

如果PKI域下配置了CDP的URL地址，該地址將覆蓋證書(shū)中攜帶的CDP信息，終端實(shí)體使用配置的URL來(lái)獲取CRL。

在線(xiàn)證書(shū)狀態(tài)協(xié)議OCSP（Online Certificate Status Protocol）方式

如果CA不支持CDP，即證書(shū)中沒(méi)有指定CDP，并且PKI域下也沒(méi)有配置CRL的URL地址，終端實(shí)體可以使用OCSP協(xié)議檢查證書(shū)狀態(tài)。

None方式：

如果終端實(shí)體沒(méi)有可用的CRL和OCSP服務(wù)器，或者不需要檢查對(duì)端證書(shū)狀態(tài)，可以采用None方式，即不檢查證書(shū)是否被撤銷(xiāo)。

證書(shū)合法性驗(yàn)證

終端實(shí)體獲取對(duì)端證書(shū)后，當(dāng)需要對(duì)對(duì)端進(jìn)行證書(shū)認(rèn)證時(shí)，例如需要與對(duì)端建立安全隧道或安全連接，通常需要驗(yàn)證對(duì)端證書(shū)和證書(shū)簽發(fā)者的合法性。如果證書(shū)簽發(fā)者的證書(shū)無(wú)效或過(guò)期，則由該CA簽發(fā)的所有證書(shū)都不再有效。但在CA證書(shū)過(guò)期前，設(shè)備會(huì)自動(dòng)更新CA/RA證書(shū)，異常情況下才會(huì)出現(xiàn)CA證書(shū)過(guò)期現(xiàn)象。

為完成證書(shū)驗(yàn)證，除了需要對(duì)端證書(shū)外，本地設(shè)備需要下面的信息：信任的CA證書(shū)、CRL、本端數(shù)字證書(shū)及其私鑰、證書(shū)認(rèn)證相關(guān)配置信息。

證書(shū)驗(yàn)證的主要過(guò)程如下：

使用CA證書(shū)的公鑰驗(yàn)證認(rèn)證機(jī)構(gòu)的簽名是否正確。

根據(jù)證書(shū)的有效期，驗(yàn)證證書(shū)是否過(guò)期。

檢查證書(shū)的狀態(tài)，即通過(guò)CRL、OCSP、None等方式檢查證書(shū)是否被撤銷(xiāo)。

證書(shū)鏈驗(yàn)證

為驗(yàn)證一個(gè)數(shù)字證書(shū)的合法性，首先需要獲得簽發(fā)這個(gè)證書(shū)的CA的公鑰（即獲得CA證書(shū)），以便檢查該證書(shū)上CA的簽名。一個(gè)CA可以讓另一個(gè)更高層次的CA來(lái)證明其數(shù)字證書(shū)的合法性，這樣順著證書(shū)鏈，驗(yàn)證數(shù)字證書(shū)就變成了一個(gè)迭代過(guò)程，最終這個(gè)鏈必須在某個(gè)“信任點(diǎn)”（一般是持有自簽名證書(shū)的根CA或者是實(shí)體信任的中間CA）處結(jié)束。

所謂的證書(shū)鏈，是指從終端實(shí)體證書(shū)到根證書(shū)的一系列可信任證書(shū)構(gòu)成的證書(shū)序列。任何終端實(shí)體，如果它們共享相同的根CA或子CA，并且已獲取CA證書(shū)，都可以驗(yàn)證對(duì)端證書(shū)。一般情況下，當(dāng)驗(yàn)證對(duì)端證書(shū)鏈時(shí)，驗(yàn)證過(guò)程在碰到第一個(gè)可信任的證書(shū)或CA機(jī)構(gòu)時(shí)結(jié)束。

證書(shū)鏈的驗(yàn)證過(guò)程是一個(gè)從目標(biāo)證書(shū)（待驗(yàn)證的實(shí)體證書(shū)）到信任點(diǎn)證書(shū)逐層驗(yàn)證的過(guò)程。

關(guān)鍵詞： 數(shù)字證書(shū)