HCIA-SEC笔记14------PKI证书体系

数字证书

数字证书简称证书，它是一个经证书授权中心（即在PKI中的证书认证机构CA）数字签名的文件，包含拥有者的公钥及相关身份信息。

证书有四种类型：

• 自签名证书 又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主体名相同。申请者无法向CA申请本地证书时，可以通过设备生成自签名证书，可以实现简单证书颁发功能。设备不支持对其生成的自签名证书进行生命周期管理（如证书更新、证书撤销等）。
• CA证书：CA自身的证书。
• 本地证书： CA颁发给申请者的证书。
• 设备本地证书：设备根据CA证书给自己颁发的证书，证书中的颁发者名称是CA服务器的名称。申请者无法向CA申请本地证书时，可以通过设备生成设备本地证书，可以实现简单证书颁发功能。

证书结构

PKI体系架构

一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。

PKI生命周期

PKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。

证书申请

PKI实体向CA申请本地证书有以下两种方式

• 在线申请（SCEP，简单证书注册协议）
• 离线申请（PKCS#10方式）

PKI工作过程

针对一个使用PKI的网络，配置PKI的目的就是为指定的PKI实体向CA申请一个本地证书，并由设备对证书的有效性进行验证。

总结

数字证书
PKI

持续更新…