數(shù)字證書，是由證書認(rèn)證機(jī)構(gòu)簽名的包含公開(kāi)密鑰擁有者信息、公開(kāi)密鑰、簽發(fā)者信息、有效期以及一些擴(kuò)展信息的數(shù)字文件。

從證書的用途來(lái)看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息完整性和行為的不可抵賴；加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的機(jī)密性。以下對(duì)數(shù)字證書的基本功能進(jìn)行原理性描述。

1、身份認(rèn)證

在各應(yīng)用系統(tǒng)中，常常需要完成對(duì)使用者的身份認(rèn)證，以確定誰(shuí)在使用系統(tǒng)，可以賦予使用者何種操作權(quán)限。身份認(rèn)證技術(shù)發(fā)展至今已經(jīng)有了一套成熟的技術(shù)體系，其中，利用數(shù)字證書完成身份認(rèn)證是其中最安全有效的一種技術(shù)手段。

利用數(shù)字證書完成身份認(rèn)證，被認(rèn)證方（甲）必須先到相關(guān)數(shù)字證書運(yùn)營(yíng)機(jī)構(gòu)申請(qǐng)數(shù)字證書，然后才能向應(yīng)用系統(tǒng)認(rèn)證方（乙）提交證書，完成身份認(rèn)證。 

通常，使用數(shù)字證書的身份認(rèn)證流程如下圖所示：

2、數(shù)字簽名

數(shù)字簽名是數(shù)字證書的重要應(yīng)用功能之一，所謂數(shù)字簽名是指證書用戶（甲）用自己的簽名私鑰對(duì)原始數(shù)據(jù)的雜湊變換后所得消息摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者（乙）使用信息發(fā)送者的簽名證書對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得消息摘要，并對(duì)收到的原始數(shù)據(jù)采用相同的雜湊算法計(jì)算其消息摘要，將二者進(jìn)行對(duì)比，即可校驗(yàn)原始信息是否被篡改。數(shù)字簽名可以完成對(duì)數(shù)據(jù)完整性的保護(hù)，和傳送數(shù)據(jù)行為不可抵賴性的保護(hù)。

使用數(shù)字證書完成數(shù)字簽名功能，需要向相關(guān)數(shù)字證書運(yùn)營(yíng)機(jī)構(gòu)申請(qǐng)具備數(shù)字簽名功能的數(shù)字證書，然后才能在業(yè)務(wù)過(guò)程中使用數(shù)字證書的簽名功能。

通常，使用數(shù)字證書的簽名和驗(yàn)證數(shù)字證書簽名的流程如圖所示：

簽名發(fā)送方（甲）對(duì)需要發(fā)送的明文使用雜湊算法，計(jì)算摘要；

甲使用其簽名私鑰對(duì)摘要進(jìn)行加密，得到密文；

甲將密文、明文和簽名證書發(fā)送給簽名驗(yàn)證方乙；

乙一方面將甲發(fā)送的密文通過(guò)甲的簽名證書解密得到摘要，另一方面將明文采用相同的雜湊算法計(jì)算出摘要；

乙對(duì)比兩個(gè)摘要，如果相同，則可以確認(rèn)明文在傳輸過(guò)程中沒(méi)有被更改，并且信息是由證書所申明身份的實(shí)體發(fā)送的。

如果需要確認(rèn)甲的身份是否和證書所申明的身份一致，則需要執(zhí)行身份認(rèn)證過(guò)程，如前一節(jié)所述。

在上述流程中，簽名私鑰配合雜湊算法的使用，可以完成數(shù)字簽名功能。在數(shù)字簽名過(guò)程中可以明確數(shù)據(jù)完整性在傳遞過(guò)程中是否遭受破壞和數(shù)據(jù)發(fā)送行為是簽名證書所申明的身份的行為，提供數(shù)據(jù)完整性和行為不可抵賴功能。數(shù)字證書和甲的身份的確認(rèn)，需要通過(guò)身份認(rèn)證過(guò)程明確。

3、數(shù)字信封

數(shù)字信封是數(shù)字證書另一個(gè)重要應(yīng)用功能，其功效類似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀“信件”的內(nèi)容。

數(shù)字信封中采用了對(duì)稱密碼機(jī)制和公鑰密碼機(jī)制。信息發(fā)送者（甲）首先利用隨機(jī)產(chǎn)生的對(duì)稱密鑰對(duì)信息進(jìn)行加密，再利用接收方（乙）的公鑰加密對(duì)稱密鑰，被公鑰加密后的對(duì)稱密鑰被稱之為數(shù)字信封。在傳遞信息時(shí)，信息接收方要解密信息時(shí)，必須先用自己的私鑰解密數(shù)字信封，得到對(duì)稱密鑰，才能利用對(duì)稱密鑰解密所得到的信息。通過(guò)數(shù)字信封可以指定數(shù)據(jù)接收者，并保證數(shù)據(jù)傳遞過(guò)程的機(jī)密性。

使用數(shù)字證書完成數(shù)字信封功能，需要向相關(guān)數(shù)字證書運(yùn)營(yíng)機(jī)構(gòu)申請(qǐng)具備加密功能的數(shù)字證書，然后才能在業(yè)務(wù)過(guò)程中使用數(shù)字證書的數(shù)字信封功能。

通常，數(shù)字信封和數(shù)字信封拆解的流程如圖所示：

信息發(fā)送方（甲）生成對(duì)稱密鑰；

甲使用對(duì)稱密鑰對(duì)需要發(fā)送的信息執(zhí)行加密，得到密文；

甲使用信息接收方（乙）的加密證書中的公鑰，加密對(duì)稱密鑰，得到數(shù)字信封；

甲將密文和數(shù)字信封發(fā)送給乙；

乙使用自己的加密私鑰拆解數(shù)字信封，得到對(duì)稱密鑰；

乙使用對(duì)稱密鑰解密密文，得到明文。

在上述流程中，信息發(fā)送方（甲）對(duì)用于加密明文信息的對(duì)稱密鑰使用接收方（乙）的加密證書進(jìn)行加密得到數(shù)字信封，利用私鑰的唯一性保證只有擁有對(duì)應(yīng)私鑰的乙才能拆解數(shù)字信封，從而閱讀明文信息。據(jù)此，甲可以確認(rèn)只有乙才能閱讀信息，乙可以確認(rèn)信息在傳遞過(guò)程中保持機(jī)密。