PKI - Public key infrastructure je označení infrastrukury, která distribuuje veřejné klíče.

Např. ve běžném webovém https ji zajišťují certifikační autority, kterým věříme (resp. náš prohlížeč má u sebe databázi důvěryhodných veřejných klíčů těchto autorit) a které nám zaručují, že pokud něco podepíší, bude to vždy pravdivé.

Existuje zde tady přenos důvěry, kdy důvěryhodná certifikační autorita může delegovat certifikování podřízené certitikační autoritě, která potom vystavuje certifikát o pravosti určitě informace.

SSL certifikát není vlastně nic jiného, než soubor v konkrétním formátu, který obsahuje několik různých informací: datum platnosti, informace o držiteli, informace o autoritě, veřejný klíč držitele a to celé je podepsané onou autoritou. Certifikát tak vlastně říká: „Já, autorita, potvrzuji, že jsem ověřil existenci subjektu, kterému je tento certifikát vystaven. Držitel privátního klíče může tento certifikát použít k následujícím účelům v této vyhrazené době.“

Je to vlastně úplně stejné jako třeba u pasu. Také tam existuje autorita (stát), která ověřuje identitu osob, a pokud vše souhlasí, vystaví jim pas. V něm je uvedeno, kdo pas vystavil, kdo je držitelem, jak vypadá, kdy je pas platný a jaká má například omezení.

Takový certifikát si samozřejmě může vystavit úplně kdokoliv. Můžete si vytvořit vlastní certifikační autoritu pro celou firmu a tou pak podepisovat vydávané certifikáty pro své zaměstnance. Protože považujete za důvěryhodnou svou autoritu, můžete věřit i tomu, kdo se prokáže jí vydaným certifikátem. Druhou variantou jsou takzvané self-signed certifikáty, které jsou podepsané samy sebou. Ty nemají žádnou autoritu a existují mimo hierarchii jen jako jeden objekt, kterému buď věříte nebo ne.

převzato z a více zde: http://www.root.cz/clanky/pripichnete-si-ssl-certifikat-k-domene