1.如何從“公鑰證書”中提取中“公鑰”？

我的理解是，應(yīng)該有一個(gè)“CA”來簽發(fā)“公鑰證書”，然后可以使用“CA的公鑰”來解密“公鑰證書”，從而得到“公鑰”。不知道我理解的對(duì)不對(duì)。

2.若我上面理解的是正確的話，那么，當(dāng)我使用類似OpenSSL這樣的工具來自簽發(fā)“公鑰證書”的話，我如何能從“公鑰證書”中提取中“公鑰”？

是說OpenSSL持有“某個(gè)CA私鑰”，然后使用“該CA公鑰”來解密；還是說“證書”（或“自簽發(fā)證書”）里面的公鑰實(shí)際上就是明文的？

3-1.我看到一些介紹說，OS中會(huì)裝好很多完全可信的CA機(jī)構(gòu)的根證書，用戶在訪問https協(xié)議的站點(diǎn)時(shí)，會(huì)根據(jù)該網(wǎng)站證書的實(shí)際簽發(fā)機(jī)構(gòu)，來使用“該機(jī)構(gòu)的根證書”，從中取出該機(jī)構(gòu)的“公鑰”，來對(duì)網(wǎng)站進(jìn)行驗(yàn)證。

那么還是那個(gè)問題，OS中的“CA根證書”中的“CA公鑰”是如何取出來的？是又有一把“私鑰”對(duì)其加密了，然后OS使用“對(duì)應(yīng)的公鑰”來解密“CA根證書”，從而解出“CA公鑰”；還是說“證書”（或“自簽發(fā)證書”）里面的公鑰實(shí)際上就是明文的？

3-2.我看到OS里面裝的那些“CA根證書”都是有有效期的，那么假如有一臺(tái)機(jī)器，使用很多年了，還能正常運(yùn)行，當(dāng)里面的所有“CA根證書”都過期了，該怎么辦？

以上是我查找資料，對(duì)數(shù)字證書理解的一些疑惑，希望有人能幫我梳理一下，謝謝！