PKI与证书服务应用-要点总结

PKI 与证书服务应用

 

- 什么是 PKI ：

       Public Key Infrastructure ，公钥基础结构

l         PKI 由公钥加密技术、数字认证、证书颁发结构（ CA ），注册机构（ RA ）等共同组成：数字证书用于用户的身份验证； CA 是一个可信的实体，负责发布、更新和吊销证书； RA 接受用户的请求等功能

l         PKI 体系能够实现的功能有：身份认证；数据完整性；数据机密性；操作的不可否认性

 

- 公钥（ Public Key ）和私钥（ Private Key ）

       密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密；不能根据一个密钥来推算得出另一个密钥；公钥对外公开；私钥只有私钥的持有人才知道；私钥应该由私钥的持有人妥善保管。

 

- 数据加密：

       发送方式用接收方的公钥加密数据；当接收方使用自己的私钥解密这些数据；数据加密能保证所发送数据的机密性。

 

- 数字签名：

       发送方式用自己的私钥加密；接收方使用发送方的公钥解密；身份验证、数据的完整性、操作的不可否认性。

 

- 什么是证书：

l         PKI 系统中的数字证书简称证书

l         它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起

l         证书的主体可以是用户、计算机、服务等

l         证书可以用于很多方面： Web 用户身份验证； Web 服务器身份验证；安全电子邮件； Internet 协议安全（ IPSec ）

l         数字证书是由权威公正的第三方机构即 CA 签发的

l         证书包含以下信息：使用者的公钥值；使用者标识信息（如名称和电子邮件地址）；有效期（证书的有效时间）；颁发者标识信息；颁发者的数字签名

 

-CA 的作用：

       CA 的核心功能就是颁发和管理数字证书；具体描述如下：处理证书申请；鉴定申请者是否有资格接收证书；证书的发放；证书的更新；接收最终用户数字证书的查询、撤销；产生和发布证书吊销列表（ CRL ）；数字证书的归档；密钥归档；历史数据归档。

 

- 证书的发放过程：

1.         证书申请：用户根据个人信息填好申请证书的信息并提交证书申请信息

2.         RA 确认用户：在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性

3.         证书策略处理：如果验证请求成功，那么系统指定的策略就被应用到这个请求上，比如名称的约束、密钥长度的约束等

4.         RA 提交用户申请信息到 CA ： RA 用自己私钥对用户申请信息签名，保证用户申请信息是 RA 提交给 CA 的

5.         CA 为用户生成密钥对，并用 CA 的签名密钥对用户的公钥和用户信息 ID 进行签名，生成电子证书：这样 CA 就将用户的信息和公钥捆绑在一起了，然后 CA 将用户的数字证书和用户的公钥公布到目录中

6.         CA 将电子证书传送给批准该用户的 RA

7.         RA 将电子证书传送给用户（或者用户主动取回）

8.         用户验证 CA 颁发的证书：确保自己的信息在签名过程中没有被纂改，而且通过 CA 的公钥验证这个证书确实由所信任的 CA 机构颁发

 

 

 

本文出自：http://newbie.blog.51cto.com/