PKI的基本组成:
 

PKI体系结构之SCEP_第1张图片 

1 终端实体

证书的申请者和持有者。既证书格式中的主体。

2 认证中心(CA)

CA 是证书的颁发机构,是PKI 的核心,职责是接收终端用户的申请,决定是否为其颁发证书;处理证书的更新请求;处理证书的查询请求;发布CRL 等。

3 RA
协助CA 负责为已授权的证书申请者制作、发放和管理证书,在RA 存在的情况下,终端实体通过RA 提出证书申请,此时终端实体除了获得CA 自签名证书外,还要获得由CA 颁发的RA 证书。

4 证书库

证书库是CA颁发证书和撤消证书的集中存放地。

SCEP,Simple Certificate Enrollment Protocol,简单证书登记协议。Cisco公司开发,用于网络设备的证书登记协议,采用PKCS#10和PKCS#7来支持证书的请求和响应消息。SCEP支持CRL和网络设备作出的证书询问,SCEP不是完整的证书管理协议,SCEP是为网络设备部署PKI的惟一可行的选择。

SCEP 在申请证书前需要具备以下两个前提条件:具有一对RSA 密钥;已知CA 服务器URL。SCEP 拥有的这对密钥即是将来CA 颁发的服务器证书中SubjectPublicKeyInfo域中要包含的内容,同时,SSL 在剩余的建立连接过程中还要使用其中的密钥信息,因此密钥的生成可以交由SSL 模块完成,之后再将密钥提供给SCEP 用来申请证书。因为SCEP 申请证书的过程用到了HTTP 消息,所以必须知道CA 服务器的URL。

更正最下面那条线是多余的