數(shù)字證書(shū)（Digital Certificate）是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，它提供了一種在網(wǎng)絡(luò)上驗(yàn)證實(shí)體身份的方式，其作用類(lèi)似于日常生活中的駕駛執(zhí)照或身份證。它是一個(gè)由權(quán)威機(jī)構(gòu)--證書(shū)授權(quán)（Certificate Authority）中心，又稱CA中心發(fā)行的，人們可以在交往中用它來(lái)識(shí)別對(duì)方的身份。

數(shù)字證書(shū)是由一個(gè)獨(dú)立的且受信任的第三方（CA中心）數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)（證書(shū)授權(quán)中心）的名稱，該證書(shū)的序列號(hào)等信息。

個(gè)人（公司、機(jī)構(gòu)）證書(shū)和網(wǎng)絡(luò)服務(wù)器的證書(shū)使用基本相同的格式，但服務(wù)器證書(shū)的“Common Name”屬性通常設(shè)置為域名模式，如web.pphpt.com，而個(gè)人（公司、機(jī)構(gòu)）證書(shū)的該屬性設(shè)置為其完整的名稱。

數(shù)字證書(shū)的工作過(guò)程很容易理解：想發(fā)送加密消息的實(shí)體（個(gè)人、公司、機(jī)構(gòu)或代表它們的網(wǎng)絡(luò)服務(wù)器）向CA機(jī)構(gòu)提交申請(qǐng)，CA就向其發(fā)放一個(gè)包含了申請(qǐng)者公開(kāi)密鑰和其他身份信息的加密了的數(shù)字證書(shū)。CA必須已經(jīng)將自己的公開(kāi)密鑰向公眾發(fā)布或可以從Internet上獲取。加密消息的接收方使用CA的公開(kāi)密鑰來(lái)解開(kāi)附接在消息上的數(shù)字證書(shū)，并驗(yàn)證證書(shū)確實(shí)是由CA發(fā)放的，然后獲得證書(shū)中發(fā)送者的公開(kāi)密鑰和身份信息。有了這些信息，接收方可以發(fā)送加密的應(yīng)答消息。圖1是認(rèn)證過(guò)程的示意圖。

圖1：使用數(shù)字證書(shū)進(jìn)行的認(rèn)證過(guò)程

證書(shū)的格式通常遵循ITUT X.509國(guó)際標(biāo)準(zhǔn)，但并非一定如此。X.509實(shí)際上是一個(gè)ITU建議（recommendation），目前是第3版。因此，各家公司可以按不同的方式來(lái)實(shí)現(xiàn)這個(gè)標(biāo)準(zhǔn)。例如，Netscape和Microsoft都在它們的Web服務(wù)器和瀏覽器中使用X.509證書(shū)實(shí)現(xiàn)SSL（安全套接字層，Secure Sockets Layer），但Netscape生成的X.509證書(shū)不能被Microsoft的產(chǎn)品讀取，反之亦然。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)包括的內(nèi)容詳見(jiàn)下表1。

表1：X.509數(shù)字證書(shū)包括的內(nèi)容

那么，為什么要使用數(shù)字證書(shū)呢？由于Internet電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。買(mǎi)方和賣(mài)方都必須相信在Internet上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對(duì)的信心，因而Internet電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)，也就是說(shuō)，必須保證網(wǎng)絡(luò)安全的四大要素，即信息傳輸?shù)谋Ｃ苄浴⒔灰渍呱矸莸拇_定性、發(fā)送信息的不可否認(rèn)性和交換數(shù)據(jù)的不可修改性。數(shù)字證書(shū)是SSL協(xié)議的一部分。