憑證和公鑰

憑證服務是公鑰基礎結構 （PKI） 的一個基礎，可提供保護及驗證資訊的方法。 憑證持有者、憑證持有人身分識別和憑證持有人 公鑰 之間的關係是 PKI 的重要部分。 此基礎結構是由下列部分所組成：

• 公開/私鑰組
• 憑證要求
• 證書頒發機構單位
• 憑證
• 證書吊銷清單
• 用於加密 的公鑰
• 用於簽章驗證的公鑰
• 憑證服務角色Microsoft

公開/私鑰組

PKI 需要使用公開/私鑰組。 公開/私鑰組的數學超出本文件的範圍，但請務必注意公用與私鑰之間的功能關聯性。 PKI 密碼編譯演算法 使用加密訊息接收者的 公鑰 來加密數據，以及相關的私鑰，以及僅解密加密訊息的相關私鑰。

同樣地，使用簽署者的私鑰建立內容 數位簽名，如下所述。 每個人都可使用的對應公鑰來驗證此簽章。 必須維護私鑰的保密性，因為架構在私鑰遭到入侵之後會分崩離析。

假設有足夠的時間和資源，公開/私鑰組可能會遭到入侵，也就是說，可以探索私鑰。 密鑰越長，就越難使用暴力密碼破解來探索私鑰。 在實務上，足夠強大的密鑰可以用來不可行的方式判斷私鑰，使公鑰基礎結構成為可行的安全性機制。

私鑰可以以受保護的格式儲存在磁碟上，在此情況下，它只能與該特定計算機一起使用，除非它實際移至另一部計算機。 替代方法是在智慧卡上有一個密鑰，可以在不同的電腦上使用，前提是它具有智慧卡讀取器和支持軟體。

數位證書主體的公鑰，但不是私鑰，包含在 憑證要求的一部分。 （因此，在提出憑證要求之前，必須有公開/私鑰組。該公鑰會成為已發行憑證的一部分。

憑證要求

發行憑證之前，必須產生 憑證要求。 此要求適用於一個實體，例如使用者、計算機或應用程式。 如需討論，假設實體是自己。 您的身分識別詳細數據會包含在憑證要求中。 產生要求之後，它會提交至 證書頒發機構單位 （CA）。 然後，CA 會使用您的身分識別資訊來判斷要求是否符合 CA 簽發憑證的準則。 如果 CA 核准要求，它會向您發出憑證，作為要求中名為的實體。

證書頒發機構單位

在頒發憑證之前，CA 會驗證您的身分識別。 發行憑證時，您的身分識別會系結至包含公鑰的憑證。 您的憑證也包含 CA 的數位簽名（可由任何接收您憑證的人驗證）。

因為您的憑證包含發行 CA 的身分識別，因此信任此 CA 的有興趣者可以將該信任延伸至您的憑證。 憑證的發行不會建立信任，而是傳輸信任。 如果憑證取用者不信任發行 CA，它將不會（或至少不應該）信任您的憑證。

簽署的憑證鏈結也允許將信任傳輸至其他 CA。 這可讓使用不同 CA 的各方仍能夠信任憑證（前提是鏈結中有一個通用 CA，也就是雙方信任的 CA）。

憑證

除了公鑰和發行 CA 的身分識別之外，發行的憑證也包含密鑰和憑證用途的相關信息。 此外，它包含 CA 撤銷憑證清單的路徑，並指定憑證有效期間（開始和結束日期）。

假設憑證取用者信任憑證的發行 CA，憑證取用者必須藉由比較憑證的開始和結束日期與目前時間，以及檢查憑證是否不在 CA 撤銷的憑證清單中，來判斷憑證是否仍然有效。

證書吊銷清單

假設憑證在有效期間使用，且憑證取用者信任發行 CA，則憑證取用者在使用憑證之前要檢查的項目還有一個：證書吊銷清單 （CRL）。 憑證取用者會檢查 CA 的 CRL（憑證中包含為延伸模組的路徑），以確保您的憑證不在已撤銷的憑證清單中。 CRL 存在，因為有時憑證尚未過期，但無法再受到信任。 CA 會定期發佈更新的CRL。 憑證取用者負責在考慮憑證可信任之前，先比較憑證與目前的CRL。

用於加密的公鑰

如果寄件者想要先加密訊息再傳送給您，寄件者會先擷取您的憑證。 在傳送者判斷 CA 受信任且您的憑證有效且未撤銷之後，寄件者會使用您的公鑰（請記得這是憑證的一部分）搭配密碼編譯演算法，將 純文字 訊息加密成 加密文字。 當您收到加密文字時，您會使用私鑰來解密加密文字。

如果第三方攔截加密文字電子郵件訊息，則第三方將無法解密，而無法存取您的 私鑰。

請注意，此處所列的大部分活動都是由軟體處理，而不是由使用者直接處理。

用於簽章驗證的公鑰

數位簽名 用來確認郵件尚未變更，以及確認郵件發件者的身分識別。 此數位簽名取決於您的私鑰和訊息內容。 使用訊息作為輸入和私鑰，密碼編譯演算法會建立數字簽名。 簽署程式不會變更訊息的內容。 收件者可以使用您的公鑰（檢查憑證的有效性、發行 CA 和撤銷狀態之後）來判斷簽章是否對應至郵件內容，以及判斷郵件是否由您傳送。

如果第三方攔截預定的郵件，改變它（甚至稍微），並將它和原始簽章轉寄給收件者，收件者，在檢查郵件和簽章時，將能夠判斷郵件是否可疑。 同樣地，如果第三方建立訊息，並在源自您身分的偽裝下以假數位簽名傳送訊息，則收件者將能夠使用公鑰來判斷訊息和簽章不會彼此對應。

數字簽名也支援 非否認性。 如果已簽署郵件的寄件者拒絕傳送郵件，收件者可以使用簽章來反駁該宣告。

請注意，此處列出的大部分活動也會由軟體處理，而不是由使用者直接處理。

Microsoft憑證服務角色

Microsoft憑證服務具有頒發證書或拒絕憑證要求的角色，由原則模組指示，負責確保憑證要求者的身分識別。 憑證服務也可讓您撤銷憑證，以及發佈CRL。 憑證服務也可以集中散發（例如，發佈至目錄服務）所簽發的憑證。 發行、散發、撤銷和管理憑證的能力，以及CRL的發行，可為公鑰基礎結構提供必要的功能。