公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于 X.509v3 证书标准。要了解关于公钥加密的更多信息，请参阅资源：公用密钥结构。

可以为各种功能颁发证书，例如 Web 用户身份验证、Web 服务器身份验证、安全电子邮件（安全/多用途 Internet 邮件扩展 (S/MIME)）、Internet 协议安全 (IPSec)、传输层安全 (TLS)以及和代码签名。证书还可以从一个证书颁发机构(CA) 颁发给另一个证书颁发机构，以便创建证书层次结构。

接收证书的实体是证书的“主题”。证书的颁发者和签名者是证书颁发机构。

通常，证书包含以下信息：

主题的公钥值

主题标识符信息（如名称和电子邮件地址）

有效期（证书的有效时间）

颁发者标识符信息

颁发者的数字签名，用来证实主题的公钥和主题的标识符信息之间绑定关系的有效性

证书只有在指定的期限内才有效；每个证书都包含有效期的起止日期，它们是有效期的界限。一旦到了证书的有效期，到期证书的主题就必须申请一个新的证书。

某些情况下有必要撤消证书中所声明的绑定关系，这时，可以由颁发者吊销该证书。每个颁发者维护一个证书吊销列表，程序可以使用该列表检查任意给定证书的有效性。

证书的主要好处之一是主机不必再为单个主题维护一套密码，这些单个主题进行访问的先决条件的是需要通过身份验证。相反，主机只需在证书颁发者中建立信任。

当主机（如安全 Web 服务器）指派某个颁发者为受信任的根颁发机构时，主机实际上是信任该颁发者过去常用来建立所颁发证书的绑定关系的策略。事实上，主机信任颁发者已经验证了证书主体的身份。主机通过将包含颁发者公钥的颁发者自签名证书放到主机的受信任根证书颁发机构的证书存储区，将该颁发者指定为受信任的根颁发机构。中间的或从属的证书颁发机构受到信任的条件是，他们拥有受信任根证书颁发机构的有效证书路径。

有关证书的详细信息，请参阅理解证书。