公鑰證書，通常簡稱為證書，是一種數(shù)字簽名的聲明，它將公鑰的值綁定到持有對應(yīng)私鑰的個人、設(shè)備或服務(wù)的身份。大多數(shù)普通用途的證書基于 X.509v3 證書標(biāo)準(zhǔn)。要了解關(guān)于公鑰加密的更多信息，請參閱資源：公用密鑰結(jié)構(gòu)。
可以為各種功能頒發(fā)證書，例如 Web 用戶身份驗(yàn)證、Web 服務(wù)器身份驗(yàn)證、安全電子郵件（安全/多用途 Internet 郵件擴(kuò)展 (S/MIME)）、Internet 協(xié)議安全 (IPSec)、傳輸層安全 (TLS)以及和代碼簽名。證書還可以從一個證書頒發(fā)機(jī)構(gòu)(CA) 頒發(fā)給另一個證書頒發(fā)機(jī)構(gòu)，以便創(chuàng)建證書層次結(jié)構(gòu)。.
接收證書的實(shí)體是證書的“主題”。證書的頒發(fā)者和簽名者是證書頒發(fā)機(jī)構(gòu)。 
通常，證書包含以下信息：
主題的公鑰值 
主題標(biāo)識符信息（如名稱和電子郵件地址） 
有效期（證書的有效時間） 
頒發(fā)者標(biāo)識符信息 
頒發(fā)者的數(shù)字簽名，用來證實(shí)主題的公鑰和主題的標(biāo)識符信息之間綁定關(guān)系的有效性 
證書只有在指定的期限內(nèi)才有效；每個證書都包含有效期的起止日期，它們是有效期的界限。一旦到了證書的有效期，到期證書的主題就必須申請一個新的證書。 
某些情況下有必要撤消證書中所聲明的綁定關(guān)系，這時，可以由頒發(fā)者吊銷該證書。每個頒發(fā)者維護(hù)一個證書吊銷列表，程序可以使用該列表檢查任意給定證書的有效性。 
證書的主要好處之一是主機(jī)不必再為單個主題維護(hù)一套密碼，這些單個主題進(jìn)行訪問的先決條件的是需要通過身份驗(yàn)證。相反，主機(jī)只需在證書頒發(fā)者中建立信任。 
當(dāng)主機(jī)（如安全 Web 服務(wù)器）指派某個頒發(fā)者為受信任的根頒發(fā)機(jī)構(gòu)時，主機(jī)實(shí)際上是信任該頒發(fā)者過去常用來建立所頒發(fā)證書的綁定關(guān)系的策略。事實(shí)上，主機(jī)信任頒發(fā)者已經(jīng)驗(yàn)證了證書主體的身份。主機(jī)通過將包含頒發(fā)者公鑰的頒發(fā)者自簽名證書放到主機(jī)的受信任根證書頒發(fā)機(jī)構(gòu)的證書存儲區(qū)，將該頒發(fā)者指定為受信任的根頒發(fā)機(jī)構(gòu)。中間的或從屬的證書頒發(fā)機(jī)構(gòu)受到信任的條件是，他們擁有受信任根證書頒發(fā)機(jī)構(gòu)的有效證書路徑。
有關(guān)證書的詳細(xì)信息，請參閱理解證書。

證書使用

因?yàn)樽C書通常用來為實(shí)現(xiàn)安全的信息交換建立身份并創(chuàng)建信任，所以證書頒發(fā)機(jī)構(gòu) (CA) 可以把證書頒發(fā)給人員、設(shè)備（例如計算機(jī)）和計算機(jī)上運(yùn)行的服務(wù)（例如 IPSec）。
某些情況下，計算機(jī)必須能夠在高度信任涉及交易的其他設(shè)備、服務(wù)或個人的身份的情況下進(jìn)行信息交換。某些情況下，人們需要在高度信任涉及交易的其他設(shè)備、服務(wù)或個人的身份的情況下進(jìn)行信息交換。運(yùn)行在計算機(jī)上的應(yīng)用程序和服務(wù)也頻繁地需要確認(rèn)它們正在訪問的信息來自可信任的信息源。
當(dāng)兩個實(shí)體（例如設(shè)備、個人、應(yīng)用程序或服務(wù)）試圖建立身份和信任時，如果兩個實(shí)體都信任相同的證書頒發(fā)機(jī)構(gòu)，就能夠在它們之間實(shí)現(xiàn)身份和信任的結(jié)合。一旦證書主題已呈現(xiàn)由受信任的 CA 所頒發(fā)的證書，那么，通過將證書主題的證書存儲在它自己的證書存儲區(qū)中，并且（如果適用）使用包含在證書中的公鑰來加密會話密鑰以便所有與證書主題隨后進(jìn)行的通訊都是安全的，試圖建立信任的實(shí)體就可以繼續(xù)進(jìn)行信息交換，。
例如，使用 Internet 進(jìn)行聯(lián)機(jī)銀行業(yè)務(wù)時，知道您的 Web 瀏覽器正在與銀行的 Web 服務(wù)器直接和安全地通訊就是很重要的。在發(fā)生安全的交易之前，您的 Web 瀏覽器必須能夠簽定 Web 服務(wù)器的身份。就是說，進(jìn)行交易之前，Web 服務(wù)器必須能夠向您的 Web 瀏覽器證明它的身份。Microsoft Internet Explorer 使用安全套接字層 (SSL) 來加密消息并在 Internet 上安全地傳輸它們，而大多數(shù)其他新式 Web 瀏覽器和 Web 服務(wù)器也使用該技術(shù)。
當(dāng)您使用啟用 SSL 的瀏覽器連接到聯(lián)機(jī)銀行的 Web 服務(wù)器時，如果該服務(wù)器擁有證書頒發(fā)機(jī)構(gòu)（例如 Verisign）頒發(fā)的服務(wù)器證書，那么將發(fā)生如下事件：
您使用 Web 瀏覽器訪問銀行的安全聯(lián)機(jī)銀行登錄網(wǎng)頁。如果使用的是 Internet Explorer，一個鎖形圖標(biāo)將出現(xiàn)在瀏覽器狀態(tài)欄的右下角，以表示瀏覽器連接到的是安全 Web 站點(diǎn)。其他瀏覽器以其他方式表示安全連接。 
銀行的 Web 服務(wù)器將服務(wù)器證書自動地發(fā)送到您的 Web 瀏覽器。 
為了驗(yàn)證 Web 服務(wù)器的身份，您的 Web 瀏覽器將檢查您計算機(jī)中的證書存儲區(qū)。如果向銀行頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)是可信任的，則交易可以繼續(xù)，并且將把銀行證書存儲在您的證書存儲區(qū)中。 
要加密與銀行 Web 服務(wù)器的所有通訊，您的 Web 瀏覽器可創(chuàng)建的會話密鑰。您的 Web 瀏覽器用銀行 Web 服務(wù)器證書來加密該會話密鑰，以便只有銀行 Web 服務(wù)器可以讀取您的瀏覽器所發(fā)送的消息。（這些消息中的一部分將包含您的登錄名和密碼以及其他敏感信息，所以該等級的安全性是必需的。） 
建立安全會話，并且在您的 Web 瀏覽器和銀行的 Web 服務(wù)器之間以安全方式發(fā)送敏感信息。 
詳細(xì)信息，請參閱證書安全性
當(dāng)您將軟件代碼從 Internet 下載、從公司 intranet 上安裝、或者購買光盤并安裝在計算機(jī)上時，還可以用證書來確認(rèn)在這些軟件代碼的真實(shí)性。無簽名軟件（沒有有效的軟件發(fā)布商證書的軟件）可以威脅到計算機(jī)和存儲在計算機(jī)上的信息。
如果用信任的證書頒發(fā)機(jī)構(gòu)所頒發(fā)的有效證書對軟件進(jìn)行了簽名，您就知道軟件代碼沒有被篡改，可以安全安裝在計算機(jī)上。在軟件安裝期間，系統(tǒng)會提示您確認(rèn)是否信任軟件制造商（例如，Microsoft Corporation）。您還可以看到其他選項(xiàng)，問您是否始終信任來自特定軟件制造商的軟件內(nèi)容。如果您選擇信任該制造商的內(nèi)容，那么他們的證書將存入您的證書存儲區(qū)，并且它們的其他軟件產(chǎn)品就可以在預(yù)定義的信任環(huán)境下安裝到您的計算機(jī)。在預(yù)定義信任的環(huán)境中，您可以安裝制造商的軟件，而不會被提示是否信任它們，因?yàn)槟挠嬎銠C(jī)上的證書已聲明您信任該軟件的制造商。
與其他證書一樣，這些用來確認(rèn)軟件真實(shí)性和軟件發(fā)布商身份的證書可還以用于其他目的。例如，如果把“證書”管理單元設(shè)置為按目的查看證書，則“代碼簽名”文件夾可能包含由 Microsoft Root Authority 頒發(fā)給 Microsoft Windows Hardware Compatibility 的證書。這個證書有三個目的：
確保軟件來自該軟件發(fā)布商 
保護(hù)軟件在發(fā)布之后不發(fā)生改變 
提供 Windows 硬件驅(qū)動程序確認(rèn)

在組織中的證書使用

很多組織安裝有自己的證書頒發(fā)機(jī)構(gòu)，并將證書頒發(fā)給內(nèi)部的設(shè)備、服務(wù)和雇員，以創(chuàng)建更安全的計算環(huán)境。大型組織可能有多個證書頒發(fā)機(jī)構(gòu)，它們被設(shè)置在指向某個根證書頒發(fā)機(jī)構(gòu)的分層結(jié)構(gòu)中。這樣，雇員的證書存儲區(qū)中就可能有多個由各種內(nèi)部證書頒發(fā)機(jī)構(gòu)所頒發(fā)的證書，而所有這些證書頒發(fā)機(jī)構(gòu)均通過到根證書頒發(fā)機(jī)構(gòu)的證書路徑共享一個信任連接。
當(dāng)雇員利用虛擬專用網(wǎng)絡(luò) (VPN) 從家里登錄到組織的網(wǎng)絡(luò)時，VPN 服務(wù)器可以提供服務(wù)器證書以建立起自己的身份。因?yàn)楣镜母C發(fā)機(jī)構(gòu)被信任，而公司根證書頒發(fā)機(jī)構(gòu)頒發(fā)了 VPN 服務(wù)器的證書，所以，客戶端計算機(jī)可以使用該連接，并且雇員知道其計算機(jī)實(shí)際上連接到組織的 VPN 服務(wù)器。
在數(shù)據(jù)可以經(jīng)過 VPN 連接進(jìn)行交換之前，VPN 服務(wù)器還必須能夠驗(yàn)證 VPN 客戶端的身份。或者通過交換計算機(jī)證書發(fā)生計算機(jī)級別的身份驗(yàn)證，或者通過使用點(diǎn)對點(diǎn)協(xié)議 (PPP) 身份驗(yàn)證方法，發(fā)生用戶級別的身份驗(yàn)證。對于 L2TP（第二層隧道協(xié)議）/IPSec 連接，客戶端和服務(wù)器雙方均需要計算機(jī)證書。
客戶端計算機(jī)證書可以服務(wù)于多個目的，這些目的大多數(shù)是基于身份驗(yàn)證的，這就允許客戶端使用很多組織的資源，而不需要為每個資源分別準(zhǔn)備證書。例如，客戶端證書可能允許 VPN 連接，還允許訪問公司存儲 intranet 網(wǎng)站、產(chǎn)品服務(wù)器以及存儲雇員數(shù)據(jù)的人力資源數(shù)據(jù)庫。
VPN 服務(wù)器證書還可能服務(wù)于多個目的。相同的證書可能各種目的：確認(rèn)電子郵件服務(wù)器、Web服務(wù)器或者應(yīng)用程序服務(wù)器的身份。頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)決定每個證書的用途數(shù)目。

頒發(fā)給個人的證書

您可以向商業(yè)證書頒發(fā)機(jī)構(gòu)（例如 Verisign）購買證書，以便發(fā)送經(jīng)過安全加密或數(shù)字簽名以證明真實(shí)性的個人電子郵件。
一旦您購買了證書并且用它來數(shù)字簽名電子郵件，則郵件收件人就可以確認(rèn)郵件在傳輸過程中沒有發(fā)生改變，并且郵件來自于您，當(dāng)然，先要假設(shè)郵件收件人信任向您頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)。
如果您加密了電子郵件，則沒有人可以在傳輸過程中閱讀郵件，而只有郵件收件人可以解密和閱讀郵件。

證書管理單元

可以使用證書管理單元來管理用戶、計算機(jī)或服務(wù)的證書。 
用戶和管理員可使用證書管理單元向 Windows 2000 企業(yè)證書頒發(fā)機(jī)構(gòu)申請新證書。另外，用戶還可以從證書存儲區(qū)查找、查看、導(dǎo)入和導(dǎo)出證書。但是在大多數(shù)情況下，用戶不必親自管理他們的證書和證書存儲區(qū)。而是通過管理員、策略設(shè)置以及使用證書的程序來完成。
管理員是“證書”管理單元的主要用戶，同樣，他們能夠在其個人證書存儲區(qū)，以及那些他們有權(quán)管理的計算機(jī)或服務(wù)的證書存儲區(qū)中，執(zhí)行多種證書管理任務(wù)