PKI是一套基于公钥技术的安全服务架构，由认证机构(CA)、数字证书库、密钥备份和恢复、证书撤销系统、应用接口等组成。CA是PKI的核心，其主要功能是证书颁发和证书管理(更新、撤销和验证)。

几个基本概念：

标准

它是ITU-T为PKI设计的一套标准。定义了公钥证书、证书撤销列表、属性证书和证书路径验证算法的标准。

通常，证书包含以下信息：

证书

PKCS(公钥加密标准)

RSA数据安全公司发布的一套公钥加密系统标准主要涉及证书申请、更新、撤销列表发布、数字签名、数字封装等。

到目前为止，共有15个PKCS标准。

PKCS已经发布了：个标准。

Pem(隐私增强电子邮件)，它提高了隐私电子邮件的标准。

PEM是早期IETF推荐的一组安全电子邮件标准，使用公钥加密系统。由于各种原因，它没有被广泛使用。然而，基于PEM标准中Base64编码的证书已经成为CA证书的常用格式之一。

PEM文件以“-begin certificate-”开头，以“-end certificate-”结尾。支持在同一文件中描述多个证书。

PKCS佩姆

简单来说，PKCS和是由不同的组织/公司针对PKI的不同领域发布的两套标准。PKCS系列标准涉及的所有证书均符合该标准。

标准中考虑的核心问题是(公钥)证书的格式/内容、如何检查证书的有效性、证书撤销列表等。

PKCS系列标准着眼于整个公钥加密系统。在PKCS发布的一系列标准中，有些与证书无关(也因此没有直接关系)，如下面列出的PKCS1 RSA密码标准；还有一些是直接相关的，比如PKCS6是证书原v1版本的扩展，随着证书版本升级到v3，PKCS6被废弃；例如，PKCS12个人信息交换语义标准定义了包含公钥证书和个人私钥的个人信息文件的格式，其中的公钥证书部分完全符合证书格式。

PEM格式证书是指Base64编码的证书(除了标准的证书内容，PEM还可以存储个人私钥等对象)。

两种编码规范

相同内容的证书可以用不同的方式编码。

DER(区分编码规则):ITU-T规定的一组规范，将任何类型的数据编码成二进制格式，可以认为是BER(基本编码规则)的子集之一。

Base64编码：一种3B4B编码方法，将二进制数据转换为每六位64个可打印ASCII字符之一。起初，它被用来编码电子邮件，然后它被用于其他领域。

2种常见的证书格式

常见的与证书相关的文件名后缀

3.证书申请/颁发/自签名

普通用户需要办理证书的，提供所需信息(用户名/联系方式/证书用途等。)到一定格式的一定级别CA(比如csr/p7r等。)并提出证书申请请求。CA审核通过后，填写用户信息/证书用途/颁发时间/有效期/证书序列号/用户公钥/签名算法等信息，并用自己的私钥对上述信息进行签名，最后将用户的证书和私钥颁发给。对于证书发行者或第三方，CA的公钥可用于验证证书的有效性。

在PKI系统中，CA是分级的，下级CA的证书由上级CA颁发；如果用户/系统/应用程序信任某个CA，它将信任该CA颁发的下一级证书。换句话说，对于某个证书，如果用户信任证书库中有一个从根CA到该证书的完整证书链，则该证书是可信的；否则你不会被信任。

对于根CA，由于没有比自己级别更高的CA，所以根CA的证书是自己签名的，即根CA用自己的私钥签署自己的证书(而普通用户的证书是用证书签发CA的私钥签署的)，这就是自签名证书。一般操作系统都预置了一些可信的根CA证书(如VeriSign等。)，用户也可以选择自己安装其他根CA证书，并添加到系统证书库中。