前文提到,未经值得信任的机构签发的数字签名,没有防伪标识,是不可信的。
因此,合理的机制是:作者向值得信任的机构申请数字证书,值得信任的机构验证作者的干系信息后,作者就可以利用数字证书处理数字签名,从而使数字签名具备防伪标识。
这些值得信任的机构称作证书颁发机构(CA)。每一个证书颁发机构建立之初都生成了一对非对称密钥对(下称 CA),并将 CA 的公钥发布,本身留存 CA 的私钥:这个 CA 的私钥是整个机制的底子,绝对不能泄露。 签发过程:
证书颁发机构会生成一对非对称密钥对(下称 A)发给作者,用来做文件的数字签名。
证书颁发机构还应当利用哈希函数计算出 A 的公钥的择要,并利用 CA 的私钥加密这个择要,也发给作者。