最近踩的一个坑，X.509 的证书，是可以签发出不同公钥算法的子证书的。

每个证书有两个签名相关的属性：

* public_key_algorithm: 当前证书所使用的公钥算法
* signature_algorithm: 父证书签发本证书时所使用的签名算法

比如 Google 的 HTTPS 证书，就是由 RSA 签发的 ECDSA 证书。