X.509的基础式公钥密码体制和数字签名。

证书

证书的格式

证书由可信的认证机构CA建立并由CA或者用户自己将其放入目录，以供其他用户方便访问。目录服务器本身并不负责为用户建立公钥证书，仅仅为用户访问公钥提供方便。

        x.509证书格式

     

证书的获取

其他任一用户只要得到有CA的公钥，就能由此得到CA为其签名的公钥。

除了CA外，其他任何人都不能以不被察觉的方式修改证书内容。

证书的吊销

每个证书都有有效期，有些证书还没到截止时间就会因为泄露被发放被吊销列表。每一个CA必须维护一个证书吊销列表CRL,该列表存放所有没有到期但是被提前吊销的证书，包括CA发放给用户和发放给其他CA的证书，这些信息还必须经过CA签名，然后存于列表中供他人查询。

  证书吊销列表

每个用户收到他人消息中的证书时，都必须通过目录检测这一帧数是否已经被吊销。为了避免搜索目录引起的延迟以及由此郑家费用开销，用户自己可以维护一个有效证书和被吊销证书的局部缓存区