很长时间以来，人们采用了各种不同的方法来隐藏正在传输的信息、验证发件人，并对消息进行身份验证。随着文明的发展，人们开发出了同时完成这三项任务的方法，并且正在迅速普及。“安全多用途 Internet 邮件扩展”(S/MIME) 是一套使用加密和数字签名安全发送电子邮件的系统。

　　目前的加密(隐藏)技术分为两大类：对称(秘密)密钥算法，如数据加密标准 (DES) 或高级加密标准 (AES);以及非对称(公开/私密)密钥算法，如 RSA 或椭圆曲线加密 (ECC)。现代的发件人验证工具是单向的算术函数，称为哈希，它可以生成唯一的签名。消息摘要算法 5 (MD5) 和安全哈希算法 (SHA) 是两种常用的哈希方法。计算机可以使用这些算法来生成与单个源文本对应的唯一哈希或数字(相同的源文本会哈希成相同的值)。运用和结合这些简单的工具可以构建公共密钥基础结构 (PKI) 系统。

　　可验证的身份

　　证书颁发机构资源

　　●针对加密文件服务使用证书颁发机构

　　●证书颁发机构服务器无法重命名或从网络中删除

　　●如何从域中的计算机内删除受信任的证书颁发机构

　　●如何取消 Windows 企业证书颁发机构以及如何从 Windows Server 2003 和 Windows 2000 Server 中删除所有相关对象

　　●如何将证书颁发机构移动到域控制器上运行的新服务器中

　　PKI 系统中的身份通过数字证书进行管理，这跟大多数人跨国界时携带的政府身份识别 — 护照 — 并没有什么不同。数字证书世界的护照标准是 X.509 格式，这种格式广泛用于各种技术中的签名和加密操作，例如 S/MIME、Internet 协议安全性 (IPsec)、安全外壳 (SSH)、无线网络安全性、虚拟专用网 (VPN)，甚至安全服务器通信(例如 SSL 网站)也包括在内。

　　证书是以非对称加密和哈希为基础构建而成。若要创建证书，请求者(等候一些较高颁发机构签署的密钥的实体)会生成一个私钥。该密钥会被锁定起来，这样一来它的真实性永远不会受到质疑。生成私钥的同时还会生成一个对应的公钥。顾名思义，这个密钥对的公开部分并不是秘密，而且会公开发布，但在某种程度上还是会确保它的真实性。

　　这个密钥对允许进行两项基本的操作。首先，任何人都可以使用公钥来加密只有私钥可以解密的内容，其次，公钥可用来解密以私钥加密的内容。这对于验证只有私钥可能创建的签名很重要。

　　对证书颁发机构提出的请求包括各种详细信息，例如密钥的目标人员或计算机的身份、算法类型和强度，以及密钥对的公开部分。证书颁发机构 (CA) 会接收请求中的信息并对其进行验证，并使用哈希算法创建与该信息相对应的唯一标识符。

　　CA 会使用它的私钥加密信息的哈希，并把它组合成标准格式(例如 X.509)，然后创建与原始要求相对应的证书。X.509 证书将包含声明列表，包括证书(主体)的身份、有效期限、公钥，以及可使用证书进行的操作等。然后将证书返回给请求者，证书事实上是个令牌，表明：“我，CA，担保这个公钥，以及与之对应的私密部分，仅作为此处所描述的这些用途”。

　　对于根 CA(位于信任链最高级别)，证书是自签名的。大部分可接受的根 CA 都会预安装在基本操作系统或应用程序中，但可通过程序包或企业配置进行更新或更改。在根 CA 和叶节点(通常是指个体或系统)之间，可以有一或多个中间 CA。

　　信任链包括所有节点以及其中先前内嵌的所有证书，由 CA 在该级别签名。尝试验证证书的第三方可以检查本地计算的哈希，并将其与从证书解密(使用该特定 CA 或个体的相应公钥)的哈希进行比较。就是这么一回事 — 从叶到根经过完整验证的信任链 — 当然前提是假设根是受信任的。