Дигитални сертификат је потписани документ који омогућује проверу идентитета учесника у комуникацији. Сертификат се дигитално потписује да би се утврдила веза између корисника и јавног кључа (јавни кључ, кориснички идентитет, информације о власнику, дигитални потпис). Поред идентитета корисника, дигитални сертификат обезбеђује интегритет поруке, ауторизацију и непорецивост.
CA (Certificate Authority) представља трећу страну којој се верује (TTP – Trusted Third Party). CA генерише, издаје и поништава сертификате. Потпис на сертификату може се проверити помоћу јавног кључа CA, јер их CA потписује помоћу свог приватног кључа. Како је CA кључни елемент у инфраструктури јавних кључева, у случају напада брани се самоуништењем свих кључева. Неке од најпознатијих компанија у свету које издају дигиталне сертификате су VeriSign, Comodo, DigiCert, Entrust Datacard, GeoTrust, GlobalSign, GoDaddy и др. У Србији, ауторизовани СА су: Јавно предузеће Поште Србије, Министартво унутрашњих послова, Министартво одбране и Војске Србије, Привердна комора Србије, и компаније Halcom и E-Smart Systems. CA наплаћују услуге издавања дигиталних сертификата. Дигитални сертификати могу бити издати на USB токенима, паметним картицама,
Паметне картице засноване су на криптографским системима и тренутно су најбезбеднија технологија за чување сертификата. Приватни кључ се безбедно чува на картици (коју не треба остављати саму). Приликом потписивања или дешифровања података и шифровање и електронско потписивање се одвија у микропроцесору на самој картици. Приступ за коришћење паметне картице је заштићен PIN кодом, који кориснику не дозвољава приступ до приватног кључа.
Сертификати су јавни и дефинисани стандардом Х.509 од стране међународне телекомуникационе уније (ITU – International Telecommunication Union). Тренутно је у употреби X.509 v3 стандард. Њиме се дефинисани формат записа, поља, начин поништења/повлачења и алгоритми шифровања. Поља унутар X.509 сертификата су:
Сада можемо образложити дефиницију PKI из претходне лекције. Главни елементи PKI су корисници дигиталних сертификата, CA организације, сами дигитални сертификати, репозиторијуми сертификата и листе повучених сертификата (CRL – Certificate Revocation List). Опционо, CA може делегирати одређене функције RA (Registration Authority). Не постоји стандард за PKI имплементацију. Главна предност оваквог система је поверљивост без дељења тајни (нема размене, тј. дељења кључева као код симетричних система). Главни недостатак је брзина (увели смо трећег играча у систем (CA) и користимо велике кључеве од 1024 бита и веће у односу на нпр. AES где су кључеви 128, 192 или 256 бита).
PKI инфраструктура данас има широку примену у области информационих технологија. У Windows системима програмери користе Cryptography Next Generation (CNG) API за шифровање и дигитално потписивање (раније CryptoAPI). У Windows клијент-сервер мрежи, CA представља Windows Server рачунар са инсталираним AD сервисом Certificate Services – наравно, том CA “вероваће” само учесници у комуникацији у оквиру организације у којој се користи. Поред доменских мрежа, PKI је нашао примену у веб сервисима (SSL), сервисима електронске поште (PGP), шифровању фајл система, паметним картицама, виртуалним приватним мрежама, бежичним мрежама, потписивању докумената, потписивању софтвера итд.