1.数字证书

数字证书也称公开密钥证书(Public Key Certificates)，由权威机构CA(certificate authority)颁发，是对网络中通信各方身份信息进行验证和证明的方式。数字证书由很多英文和数字组成，当使用数字证书进行身份认证时，会随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的身份码，相当于生成了一个复杂的密码，从而保证了数据传输的保密性。除此之外，数字证书采用公钥密码体制进行加解密和签名保证可靠性与唯一性。

2.数字证书分类

(1)根证书

根证书获得广泛认可，通常已预先安装在各种软件(包括操作系统、浏览器、电邮软件等)，作为信任链的起点，来自于公认可靠的政府机关(如香港邮政、台湾网络信息中心)、证书颁发机构公司(如 DigiCert、Google)、非营利组织(如 Let’s Encrypt)等，与各大软件商透过严谨的核认程序才在不同的软件广泛部署。由于部署程序复杂费时，需要行政人员的授权及机构法人身份的核认，一张根证书有效期可能长达二十年以上。在某些企业，也可能会在内部电脑自行安装企业自签的根证书，以支持内部网的企业级软件;但是这些证书可能未被广泛认可，只在企业内部适用。

(2)授权证书

授权证书又称属性证书，本身没有公钥，必须依附在一张有效的数字证书上才有意义，其用处是赋予相关拥有人签发终端实体证书的权力;某些情况下，如果只在短期内授予证书机构签发权力，便可以不改变(缩短)该机构本身持有的证书的有效期。这种情况，类似于某人持有长达十年期的护照，而只透过签发短期入境签证，来个别赋予护照持有人额外权力。

(3)自签证书

在用于小范围测试等目的的时候，用户也可以自己生成数字证书，但没有任何可信赖的人签名，这种自签名证书通常不会被广泛信任，使用时可能会遇到电脑软件的安全警告。

(4)中介证书

认证机构的一个重要任务就是为客户签发证书，虽然广泛认可的认证机构都已拥有根证书，相对应的私钥可用以签署其他证书，但因为密钥管理和行政考虑，一般会先行签发中介证书，才为客户作数字签署。中介证书的有效期会较根证书为短，并可能对不同类别的客户有不同的中介证书作分工。

(5)通配符证书

如果服务器证书上主体的通用名称(或主体别名)一栏以通配符前缀，则该证书可以用于旗下的所有子域名，特别适合较具规模、或设有多个子网站的机构一次过申领，套用于多个服务器上;即使未来创建新的子域名，也可以套用。但通配符不可用于扩展认证证书上。

(6)终端实体证书

其他不会用作签发其他证书的，都可称为终端实体证书，在实际的软件中部署，以便创建加密通道时应用。

(7)TLS 服务器证书

服务器通常以域名形式在互联网上提供服务，服务器证书上主体的通用名称就会是相应的域名，相关机构名称则写在组织或单位一栏上。服务器证书(包括公钥)和私钥会安装于服务器(例如 Apache)，等待客户端连接时协议加密细节。客户端的软件(如浏览器)会执行认证路径验证算法以确保安全，如果未能肯定加密通道是否安全(例如证书上的主体名称不对应网站域名、服务器使用了自签证书、或加密算法不够强)，可能会警告用户。

以上梳理了数字证书的定义、分类等，希望对你有所帮助，如果你想了解更多相关内容，敬请关注三个皮匠报告的行业知识栏目。

推荐阅读：

大数据安全是什么?存在的问题有哪些?防护技术介绍

网络安全头部企业有哪些?2022网络安全十大品牌企业介绍

网络安全政策有哪些?2022最新国内网络安全政策梳理