公匙證書

可以為各種功能頒發證書，例如 Web 用戶身份驗證、Web 伺服器身份驗證、安全電子郵件（安全/多用途 Internet 郵件擴展 (S/MIME)）、Internet 協定安全 (IPSec)、傳輸層安全 (TLS)以及和代碼簽名。證書還可以從一個證書頒發機構(CA) 頒發給另一個證書頒發機構，以便創建證書層次結構。

接收證書的實體是證書的“主題”。證書的頒發者和簽名者是證書頒發機構。

通常，證書包含以下信息：

主題的公鑰值

主題標識符信息（如名稱和電子郵件地址）

有效期（證書的有效時間）

頒發者標識符信息

頒發者的數字簽名，用來證實主題的公鑰和主題的標識符信息之間綁定關係的有效性

證書只有在指定的期限內才有效；每個證書都包含有效期的起止日期，它們是有效期的界限。一旦到了證書的有效期，到期證書的主題就必須申請一個新的證書。

某些情況下有必要撤消證書中所聲明的綁定關係，這時，可以由頒發者吊銷該證書。每個頒發者維護一個證書吊銷列表，程式可以使用該列表檢查任意給定證書的有效性。

證書的主要好處之一是主機不必再為單個主題維護一套密碼，這些單個主題進行訪問的先決條件的是需要通過身份驗證。相反，主機只需在證書頒發者中建立信任。

當主機（如安全 Web 伺服器）指派某個頒發者為受信任的根頒發機構時，主機實際上是信任該頒發者過去常用來建立所頒發證書的綁定關係的策略。事實上，主機信任頒發者已經驗證了證書主體的身份。主機通過將包含頒發者公鑰的頒發者自簽名證書放到主機的受信任根證書頒發機構的證書存儲區，將該頒發者指定為受信任的根頒發機構。中間的或從屬的證書頒發機構受到信任的條件是，他們擁有受信任根證書頒發機構的有效證書路徑。

有關證書的詳細信息，請參閱理解證書。