问下关于数字证书的原理

Question

比如电网公司有个数字证书系统，可以签发数字证书到特殊的U盘中，操作人员就可以插入这个U盘去别的设备上操作，没插就不能操作，这个部署数字证书系统的电脑是不联网的，系统也是不联网的，这个U盘里有公私钥，为啥就可以在别的普通的电脑上操作？很纳闷啊

Answer 1

两种吧，一种是双向认证，一种是单向认证
1、单向认证，比如常用的HTTPS就是单向认证，只需要信任服务器即可，这种证书一般在服务器，浏览器保存有CA服务器信息，你请求时候，服务器把证书给浏览器，浏览器拿着证书问CA服务器是否可信。CA服务器就是大机构维护的公共的证书签发机构，所以要做HTTPS时候就需要花钱买证书。
2、双向认证的话，就类似银行常见的U盾，首先先信任服务器，和上面步骤一样，然后服务器也要信任浏览器端，这时候浏览器需要把你U盾的证书发给服务器，服务器拿着证书去自己的证书签发服务器问是否可信。如果两个都通过，就说明双向认证都通过了，机构内部自己的证书签发服务器是不需要对外的，而且自签发，不需要花钱。
单向验证的时候，CA就必须是联外网的，双向认证的时候，机构自己的证书签发服务器是可以不联外网的，只要内部网络通就可以。