CA证书的申请、生成及验证流程

最近对SSL和PKI进行研究，还是对CA证书本身有几个问题搞不懂，以招商银行网上银行为例：
1. 我们登录网银时，会在地址栏看到一个上了锁的锁形标记，点击标记会看到CA证书（其中包含淘宝网的公钥），那么，这个证书是怎么生成的？是淘宝从第三方的权威机构申请的，还是淘宝网通过技术手段自己生成的？

2. SSL和PKI联合起来，能否组织钓鱼网站？我们的浏览器如何知道这个证书是真正招商银行的证书而不是其它钓鱼网站的证书？我在网上看到有文章说利用证书可以防止钓鱼网欺骗，请问这个是如何做到的？

3. 我们的浏览器如何对这个证书进行具体认证？是不是ca证书中包含第三方权威CA中心的网络地址，我们的浏览器会经过该地址链接到CA中心，对招行的CA证书进行匹配查询，根据匹配结果来判断该证书是合法的信任证书？

4. PKI如何保证交易的不可否认性？是CA中心来担保的吗？若是，那CA中心通过什么标识来确认该交易存在？

5. 假如我想开一个自己的小型网点，想支持网银支付，为了安全，那我必须得去申请一个CA证书吗？

以上几个问题搞不懂啊，主要是对CA的申请、生成及验证流程搞不懂，所以望这方面的资深前辈给予指点，谢谢！或给推荐一份能清楚说明上述问题的资料，不胜感激

先看看CA方面的书吧

请给推荐一本讲解的比较明白的书？另外一个问题时：我们的浏览器是如何知道该CA是可信任的CA中心？