数字证书与公钥基础设施

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

0x01：数字证书

数字证书是由第三方可信机构（一般是证书服务器）颁发的数字证书，可以证明身份的可信度。

数字证书具有以下特点以及性质：

• 绑定用户身份和公钥。

• 网络世界的电子身份证：

  • 与现实世界的身份证类似

  • 能够证明个人、团体或设备的身份

• 包含相关信息：

  • 包含姓名、地址、公司、电话号码、E-mail 地址、... 与身份证上的姓名、地址等类似。

  • 包含所有者的公钥。

• 拥有者拥有证书公钥对应的私钥

• 由可信的办法机构颁发

  • 比如身份证由公安局颁发一样

• 颁发机构对证书进行签名

  • 与身份证上公安局的盖章类似

  • 可以由颁发机构证明证书是否有效

  • 可以防止擅改证书上的任何资料

比如，下面就是一份数字证书：

0x02：公钥基础设施

公钥基础设施 PKI（Public Key Infrastructure）是一种遵循既定标准的公钥管理平台。它能够为所有网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理体系。

PKI 是一个利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。PKI 是一个包含硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体质的密钥和数字证书的产生、管理、存储、分发和撤销等功能。如同电力基础设施为家用电器提供电力一样，PKI 为各种应用提供安全保障，提供网络新信任基础。

PKI 体系由众多部分组成，接下来我们进行一一讲解（下面的内容是 NISP 讲解的，但是笔者从网上搜索了其他的笔记，发现似乎概念都有所混淆，下面缺了一个主端实体，不过课程里也没讲）：

0x0201：认证权威机构 — CA

认证权威机构 CA（Certification Authority）它可以由国际性组织、政府、企业和个人等设立。主要功能有：

1. 证书的颁发和管理（撤销、查询、审计、统计）

2. 验证数字证书（黑名单认证 CRL）

3. RA（用户注册系统）的设立、审查和管理

CA 专门负责数字证书的产生、发放和管理，以保证数字证书真实可靠。它是公钥基础设施 PKI 的核心，CA 负责管理所有用户（包括各种应用程序）证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。

0x0202：证书注册机构 — RA

证书注册机构 RA（Registration Authority）的主要功能有：

• 受理用户的数字证书申请

  • 对证书申请者身份进行审核并提交 CA 制证

  • 类似于申请身份证的派出所

• 提供证书生命期的维护工作

  • 受理用户证书申请

  • 协助颁发用户证书

  • 审核用户真实身份

  • 受理证书更新请求

  • 受理证书吊销

0x0203：目录服务 — LDAP

LDAP 是证书的存储库，提供了证书的保存、修改、删除和获取的能力。

CA 采用 LDAP 标准的目录服务存放证书，其作用与数据库相同，优点是在修改操作少的情况下，对于访问的效率比传统数据库要高。

0x0204：证书撤销列表 — CRL

证书撤销列表 CRL（Certificate Revocation List），也称 “证书黑名单”。即在证书的有效期期间，因为某种原因（如人员调动、私钥泄露等等），导致相应的数字证书内容不再是真实可信，此时，进行证书撤销，说明该证书已是无效的。

CRL 中列出了被撤销的证书序列号。