PKI與證書服務(wù)

PKI:公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）

• 通過使用公鑰技術(shù)和數(shù)字簽名來確保信息安全

• 由公鑰加密技術(shù)、數(shù)字證書、CA、RA組成

PKI體系能夠?qū)崿F(xiàn)的功能:

• 數(shù)據(jù)機(jī)密性 

• 身份驗(yàn)證

• 數(shù)據(jù)完整性

• 操作的不可否認(rèn)性

公鑰加密技術(shù)是PKI的基礎(chǔ):

  公鑰與私鑰關(guān)系

• 成對(duì)生成，互不相同，互相加密與解密

• 不能根據(jù)一個(gè)密鑰來推算出另一個(gè)密鑰

• 公鑰對(duì)外公開，私鑰只有私鑰持有人才知道

• 私鑰應(yīng)該由密鑰的持有人妥善保管

    根據(jù)實(shí)現(xiàn)的功能不同，可分為數(shù)據(jù)加密和數(shù)字簽名

  
  

數(shù)據(jù)加密:

• 發(fā)送方使用接收方的公鑰加密數(shù)據(jù)

• 接收方使用自己的私鑰解密數(shù)據(jù)

 數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機(jī)密性

數(shù)字簽名:

• 發(fā)送方對(duì)原始數(shù)據(jù)執(zhí)行HASH算法得到摘要值

• 發(fā)送方用自己私鑰加密摘要值

• 將加密的摘要值與原始數(shù)據(jù)發(fā)送給接收方

• 對(duì)方用發(fā)送方的公鑰對(duì)摘要進(jìn)行解密，同時(shí)又對(duì)收到的文件用與發(fā)送方相同的HASH算法得到一個(gè)新的摘要

• 將解密的摘要與新得到的摘要進(jìn)行對(duì)比，可以得出文件在傳輸過程中是否被破壞或篡改

 數(shù)字簽名保證數(shù)據(jù)完整性、身份驗(yàn)證和不可否認(rèn)

PKI協(xié)議

• SSL

• HTTPS

• IPSec

    證書用于保證密鑰的合法性，主體可以是用戶、計(jì)算機(jī)、服務(wù)等，格式遵循X.509標(biāo)準(zhǔn)

• 數(shù)字證書包含信息

• 使用者的公鑰值

• 使用者標(biāo)識(shí)信息

• 有效期

• 頒發(fā)者標(biāo)識(shí)信息

• 頒發(fā)者的數(shù)字簽名

數(shù)字證書由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)

CA（Certificate Authority，證書頒發(fā)機(jī)構(gòu)）

核心功能是頒發(fā)和管理數(shù)字證書

證書的頒發(fā)過程：

   用戶申請(qǐng)-RA處理申請(qǐng)-RA驗(yàn)證并簽名-RA提交CA-CA制作證書并歸檔-CA發(fā)放證書給RA-RA頒發(fā)證書給用戶-用戶驗(yàn)證

CA分類 

• 企業(yè)（域環(huán)境，證書自動(dòng)頒發(fā)）

• 獨(dú)立（工作組環(huán)境，證書手動(dòng)頒發(fā)）

申請(qǐng)證書地址：http://服務(wù)器IP/certsrv