數字證書的授權鏈

數字證書還包含一個授權鏈資訊，舉個例子：如果你要申請休假1周，需要你的上司審批，你的上司需要他的上司同意，最終需要大老闆同意，那麼這一層層的授權，形成了一個授權鏈，大老闆是授權鏈的根(root)，中間這些環節分別是被更接近root的人授權的。

比如蘋果開發者的APP簽名證書，該證書可以用來對APP進行簽名，該證書實際上是由蘋果的Worldwide Developer Relations Certificate Authority（WDRCA）授權簽名的，而它是由Apple Certificate Authority授權簽名的。在這個關係鏈中蘋果的CA是根。 蘋果CA根證書預設是內建在蘋果系統中的，所以WDRCA的可信性可以由蘋果內建的CA根證書來驗證其可信性。

Web相關的SSL證書頂部CA根，則就是上述提到的幾家公認的簽發機構，當我們需要Web做SSL的證書時，便可以向上述機構申請，通常向根機構申請費用都會比較高，也可以向一些二級授權機構進行申請，選擇根機構證書籤發的好處就是目前大多數的瀏覽器都會預裝內建了這些權威CA的公鑰證書，這樣，在使用這些權威CA簽發過的證書的時候，瀏覽器一般不會報風險提示。

總結

數字證書籤名的基礎是非對稱加密演算法，利用了非對稱加密的身份驗證和防止資訊篡改的特性來實現的，在一些其他方面比如HTTPS中金鑰交換用的就是非對稱加密的保密特性來實現的，在非對稱加密演算法中RSA應用最廣。非對稱加密雖好，但卻有一個弊端，就是加解密比較耗時，所以一般都是配合對稱加密一起使用。