PKI公钥基础设施与CA认证

一、基本结构，

一个完整的PKI必须包含以下5个部分

   1. 认证结构 CA - 证书的签发机构， PKI的核心， 是PKI应用中权威，可信任、公正的第三方机构
   2. 证书库 - 证书的集中存放地、提供公众查询
   3. 秘钥备份及恢复系统 - 对用户的解密秘钥进行备份， 当丢失时进行恢复，而签名秘钥不能备份和恢复
   4.证书作废和处理系统 - 证书由于某种原因需要作废， 终止使用， 将通过证书作废列表CRL来完成
   5.PKI应用接口系统 - 为各种各样的应用提供安全，一致， 可信任性的方式与PKI交互

二、PKI的核心 - CA

 PKI服务系统的核心是如何实现秘钥管理：
私钥：证书持有者，自己秘密掌握，无须网络传输、
公钥 ：所以公钥体制的秘钥管理主要是公钥的管理问题、目前较好的方案，是引进证书机制

         CA的职责：
           1. 验证并标识证书申请者的身份
           2. 确保CA用于签名证书的非对称秘钥的质量
           3. 确保整个签证过程的安全性， 确保签名私钥的安全性
           4. 证书信息的管理（公钥证书序列号， CA标识）
           5. 确定并检查证书的有效期限
           6. 确保证书主体标识的唯一性
           7. 发布并维护作废证书列表
           8. 对整个证书签发过程做日志记录
           9. 对申请人发出通知