5.1 概述

數字證書具有以下的特性：

——任何能夠獲得和使用認證機構公鑰的用戶都可以恢復認證機構所認證的公鑰。

——除了認證機構，沒有其他機構能夠更改證書,證書是不可偽造的。

由于證書是不可偽造的，所以可以通過將其放置在目錄中來發布，而不需要以后特意去保護它們。

認證機構通過對信息集合的簽名來生成用戶證書，信息集合包括可辨別的用戶名、公鑰以及一個可選的包含用戶附加信息的唯一性標識符。唯一性標識符內容的確切格式這里未做規定，而留給認證機構去定義。唯一性標識符可以是諸如對象標識符、證書、日期或是說明有關可辨別用戶名的有效性的證書的其它形式。具體地說，如果一個用戶證書的可辨別名為A，唯一性標識符為UA，并且該證書是由名為CA，其唯一性標識符為UCA的認證機構生成的，則用戶證書具有下列的形式：

CA<>=CA{V，SN，AI，CA，UCA，A，UA，Ap，TA}

這里V為證書版本；SN為證書序列號；AI為用來簽署證書的算法標識符；UCA為CA的可選的唯一性標識符；UA為用戶A的可選的唯一性標識符；Ap為用戶A的公鑰；TA表示證書的有效期，由兩個日期組成，兩者之間的時間段即是證書的有效期。證書有效期是一個時間區間，在這個時間區間里，CA必須保證維護該證書的狀態信息，也就是發布有關撤銷的信息數據。由于假定TA在不小于24小時的周期內變化，要求系統以格林威治時間為基準時間。證書上的簽名可被任何知道CA公鑰CAp的用戶用來驗證證書的有效性。

CRL是CA對撤銷的證書而簽發的一個列表文件，該文件可用于應用系統鑒別用戶證書的有效性。CRL遵循X.509V2標準的證書撤銷列表格式。