对数字证书的理解

最简单的情况下，服务器掌握私钥，任何人都可以使用公钥。因此只要用公钥解密就能确认数据是否来源于服务器。

但还有子证书的概念。用户操作系统里存放的根证书是有限的，因此https网站的证书是一级一级签发的。

根证书管理机构（CA）用自己的私钥签发下一级证书的公钥，而下一级证书的私钥用来加密又下一级的公钥。假定一共就3级，那么用户浏览网站时，首先收到第1级私钥加密的第2级公钥、第2级私钥加密的第三级公钥，然后用本地的第1级证书解密第2级公钥，用第2级证书解密第三级公钥，如此即可信任3级公钥。最后再用第3级公钥验证网站用3级私钥加密的内容。