Pki原理，pki

Pki原理，pki

核心提示：

利用公钥与公钥证书，与私钥一起生成客户端或者服务器证书，用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。公钥顾名思义是公开的，所有的人都可以得到它；私钥也顾名思义是私有的，不应被其他人得到，具有唯一性。这样就可以满足电子商务中需要的一些安全要求。比如说要证明某个文件是特定人的，该人就可以用他的私钥对文件加密，别人如果能用他的公钥解密此文件，说明此文件就是这个人的，这就可以说是一种认证的实现。还有如果只想让某个人看到一个文件，就可以用此人的公钥加密文件然后传给他，这时只有他自己可以用私钥解密，这可以说是保密性的实现。基于这种原理还可以实现完整性。这就是PKI 所依赖的核心思想，这部分对于深刻把握PKI 是很重要的，而恰恰这部分是最有意思的。 

官方说明如下：

Signing other Certificates

签约其它证书

Possessing both a Certificate and its Private Key also gives an additional benefit, being able to sign other Certificates. This adds a small, cryptographically secure piece of information to the certificate file being signed, 

拥有证书和私钥，有另外一好处，让这增加了一个轻巧的密码安全信息的证书文件签字

indicating it is authentic.

,来表明它是可信任的

This is important, because it allows us to establish a web of trust, where we have all of our certificates signed either by each other, or by a central certificate we know to be good.

这是重要的，因为它允许我们建立web信任，在我们有彼此证书签字，或者中心证书

Certificate Authority

证书认证机构：

This approach, of having a central certificate to sign many others is regarded as good security practice. It also allows for reasonably simple certificate management when compared to other alternatives, and is the approach used in libvirt.

拥有中心证书对其它服务的签字是一个好的安全实践。比较其它的可替代方案，它允许合理简单的证书管理，这种方法在libvirt中得到应用。

This central Certificate is referred to as a Certificate Authority Certificate. We create one in the very first step of our TLS set up on the next page, then use it for signing every Client and Server Certificate we create. 

这个中心证书被称为一个证书认证机构的证书， 我们需要用它签约每一个客户端或者服务端证书。