數字證書是一個電子文檔，其中包含了持有者的信息、公鑰以及證明該證書有效的數字簽名。

證書簽名與驗簽：

簽名： 上級證書擁有者，搜集到下級證書申請信息後，將整體信息使用私鑰簽名；

驗簽： 使用上級證書的公鑰對簽名信息完成；

簽名函數： signdata = encrypty(privateKey, hash(data))

驗簽函數： hash(data) == decrypty(publicKey,(signdata))

https://www.cnblogs.com/feng9exe/p/8056801.html

數字證書的工作原理：

客戶端--------證書頒發機構——————服務器

《—根證書—- ———》簽名證書 + 私鑰

—————我要和服務器通話———〉

〈——————簽名證書—————

本地驗證通過

————————通信—————————-〉

一、證書拷貝下發：

能夠通過身份認證，但是因為手裏沒有私鑰，所以不能完成通信；

沒有持有者的同等能力；

相當於偷了別人的身份證和學位證，但是沒有專業技能；

二、證書偽造：修改身份信息裏的公鑰，生成自簽名證書

無法通過證書認證；

相當於拷貝了別人的身份證、畢業證，同時修改了專業信息，但是沒有通過學位辦的認證；

三、本地根證書篡改

在第一步證書偽造的的基礎上，修改本地的根證書；

能夠通過認證，從而完成信息竊取；

相當於拷貝了別人的身份證、畢業證，同時修改了專業信息，同時給了一個假的認證機構通過了認證；

四、完整的證書驗證

客戶端本身擁有服務器證書，完成證書比對；

此方案可以杜絕證書偽造+根證書攻擊的攻擊；

同時它不再需要證書驗證體系的支持；

數字證書與身份認證攻防