數字證書

驗證對於保護通訊至關重要。 用戶必須能夠向與其通訊的人員證明其身分識別，而且必須能夠驗證其他人的身分識別。 網路上身分識別的驗證很複雜，因為通訊對象在通訊時不會實際開會。 這可讓不道德的人攔截訊息或模擬另一個人或實體。 必須找出方法，才能在通訊程序中維持必要的信任層級。

數位證書 是常見的認證，可提供驗證身分識別的方法。 本節概述憑證如何提供安全通訊，以及如何使用 CryptoAPI 來使用和管理這些憑證。

憑證是一組可識別實體的數據。 受信任的組織會將憑證指派給個人或實體，以將公鑰與個人產生關聯。 發行憑證的個人或實體稱為該憑證的主體。 發行憑證的受信任組織是 證書頒發機構單位 （CA），稱為憑證的簽發者。 可信任的 CA 只會在驗證憑證主體的身分識別之後發出憑證。

憑證會使用密碼編譯技術來解決通訊之間缺乏實體接觸的問題。 使用這些技術會限制不道德的人攔截、改變或偽造郵件的可能性。 這些密碼編譯技術可讓憑證難以修改。 因此，實體很難模擬其他人。

憑證中的數據包含憑證主體 公開/私鑰組的公開密碼編譯密鑰。 使用寄件者私鑰簽署的郵件，只能由郵件收件者使用寄件者的公鑰來擷取。 您可以在寄件者憑證的複本上找到此金鑰。 從憑證擷取具有 公鑰的簽章， 證明簽章是使用憑證主體的 私鑰產生。 如果寄件者保持警惕，並保留私鑰秘密，接收者可以確信訊息發件者的身分識別。

在網路上，通常會有稱為 憑證伺服器的信任應用程式。 在安全電腦上執行的 CA 會管理證書伺服器。 此應用程式可存取其所有用戶端的公鑰。 憑證伺服器會分配稱為憑證的訊息，每個訊息都包含其中一個用戶端使用者的公鑰。 每個憑證都會使用 CA 的私鑰進行簽署。 因此，這類憑證的接收者可以驗證指定的 CA 是否已傳送它。

數字證書也包含延伸模組和擴充屬性，可提供憑證主體的其他資訊，例如主體的電子郵件位址，以及憑證主體可執行的活動。