(1)签发证书 为合法的申请者签发数字证书，可以说是CA甚至是整个PKI的核心功能。

如果没有CA签发证书，PKI的整个信任体系也就无从建立。

一张数字证书的主要内容包括：证书序列号、证书所有者的唯一识别名、证书所有者的公开密钥、证书的有效期，以及CA对证书的数字签名等。

正是由于数字证书中存在CA对证书的数字签名，因此对证书中任何内容的改动都可以被发现。

证书中CA的签名保证了证书信息的完整性，它可以很容易地被校验。

因此，证书的安全也就有了坚实的保证，它可以公开发布。

(2)作废证书 在数字证书的有效期结束之前，由于某种原因需要提前停止使用时，就需要作废数字证书。

例如，证书的所有者可能改变了姓名、单位，或者其私钥被破坏等，都需要提出对证书的作废处理。

经过CA作废的证书不再值得信赖。

因此，用户在接受通信对方的证书时，必须校验对方证书的有效性，包括CA的签名是否正确，证书是否被作废处理等。

PKI中检查证书是否作废的常用方法是检查证书作废表(CRL)。

CA在作废处理证书时产生新的证书作废表，它可以以一定的格式公布于众。

用户可以方便地查询到证书作废信息。

简而言之等几天，就OK了。