PKI体系结构之SCEP

PKI的基本组成:
 

 

1 终端实体

证书的申请者和持有者。既证书格式中的主体。

2 认证中心（CA）

CA 是证书的颁发机构，是PKI 的核心，职责是接收终端用户的申请，决定是否为其颁发证书；处理证书的更新请求；处理证书的查询请求；发布CRL 等。

3 RA
协助CA 负责为已授权的证书申请者制作、发放和管理证书，在RA 存在的情况下，终端实体通过RA 提出证书申请，此时终端实体除了获得CA 自签名证书外，还要获得由CA 颁发的RA 证书。

4 证书库

证书库是CA颁发证书和撤消证书的集中存放地。

SCEP，Simple Certificate Enrollment Protocol，简单证书登记协议。 由Cisco公司开发，用于网络设备的证书登记协议，采用PKCS#10和PKCS#7来支持证书的请求和响应消息。SCEP支持CRL和网络设备作出的证书询问，SCEP不是完整的证书管理协议，SCEP是为网络设备部署PKI的惟一可行的选择。

SCEP 在申请证书前需要具备以下两个前提条件：具有一对RSA 密钥；已知CA 服务器URL。SCEP 拥有的这对密钥即是将来CA 颁发的服务器证书中SubjectPublicKeyInfo域中要包含的内容，同时，SSL 在剩余的建立连接过程中还要使用其中的密钥信息，因此密钥的生成可以交由SSL 模块完成，之后再将密钥提供给SCEP 用来申请证书。因为SCEP 申请证书的过程用到了HTTP 消息，所以必须知道CA 服务器的URL。

更正最下面那条线是多余的