RSA - 证书与CA

CA 证书发放机构

【百度 “数字证书” 】

1. 发放
机构向CA申请一张证书，证书于向用户证书自己的身份。

CA在证书的末尾会添加一段签名，让用证明该cert是CA发的。过程呢，就是CA用自己的私钥对这一段证书进行签名。CA本身会出一个证书，叫做根证书，把公钥放在里面。

2. 校验
客户端在接收到一个证书cert时，首先要做的工作是检验该证书是否有效。也就是说，看这张证书是不是CA发出来的。

具体步骤:
(1) 向CA要一张根证书。
(2) 用根证书里的公钥对cert里的签名进行校验，如果校验成功，说明该cert是由CA签发的，可以信任。

【注】
- 对于windows系统，随系统已经存了一些CA的证书，估计都是美国的CA。
 

中国用户应该先安装一个来自工信部的根证书，该证书应该是由美国的CA签发。
  国内的其他机构再向工信部申请证书，所以大部分证书由工信部

- 证书是层级的。每份证书都会指定其上级CA的名字，系统会直接用名字来定位到CA就行了。
- CA签发证书是收费的，所以在上各种银行网站时，一般会提供"证书无法被验证"。这是因为他们的证书都是自己做的。
- 自签名证书:自己做一个证书，用私钥来产生一个签名。显然，接收到此证书后由于找不到CA，是无法验证的。但是用证书本身的公钥倒是可以解此签名。