一、簽名和驗簽原理

　　數字簽名原理如圖1所示，簽名時，數字簽名服務器先對源數據提取摘要信息，再用發送者（簽名者）的私鑰加密摘要信息，得到加密結果即為簽名結果。

圖1

　　簽名驗證過程原理如圖2所示，驗簽時，接收者（驗簽者）再次對源數據提取數字摘要1，同時用發送者（簽名者）的公鑰解密簽名結果，獲取數字摘要2，比較兩組通過不同途徑獲取的摘要信息，如果相同則驗證通過，如果不同則驗證失敗，數據的完整性遭到了破壞。驗簽同時確認了發送者（簽名者）的身份抗抵賴性。

圖2

二、數字信封原理

　　數字信封制作原理如圖3所示。制作數字信封時，數字簽名服務器隨機生成一組對稱密鑰，發送者（加密者）先用對稱密鑰加密源數據，再用接收者（解密者）的公鑰加密對稱密鑰，獲得加密的對稱密鑰，加密文件和加密的對稱密鑰構成數字信封。

圖3

　　數字信封解密原理如圖4所示。解密數字信封時，接收者先用自己的證書私鑰解密加密對稱密鑰，再用對稱密鑰解密加密文件，從而獲得源文件。數字信封通過使用兩層加密來獲得公開密鑰技術的靈活性和秘密密鑰技術高效性。

圖4

三、openssl 證書認證過程

注：本文參考了吉大正元產品介紹