PKI與證書服務(wù)應(yīng)用

PKI與證書服務(wù)應(yīng)用

-什么是PKI：

Public Key Infrastructure，公鑰基礎(chǔ)結(jié)構(gòu)

l PKI由公鑰加密技術(shù)、數(shù)字認(rèn)證、證書頒發(fā)結(jié)構(gòu)（CA），注冊機構(gòu)（RA）等共同組成：數(shù)字證書用于用戶的身份驗證；CA是一個可信的實體，負(fù)責(zé)發(fā)布、更新和吊銷證書；RA接受用戶的請求等功能

l PKI體系能夠?qū)崿F(xiàn)的功能有：身份認(rèn)證；數(shù)據(jù)完整性；數(shù)據(jù)機密性；操作的不可否認(rèn)性

-公鑰（Public Key）和私鑰（Private Key）

密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密；不能根據(jù)一個密鑰來推算得出另一個密鑰；公鑰對外公開；私鑰只有私鑰的持有人才知道；私鑰應(yīng)該由私鑰的持有人妥善保管。

-數(shù)據(jù)加密：

發(fā)送方式用接收方的公鑰加密數(shù)據(jù)；當(dāng)接收方使用自己的私鑰解密這些數(shù)據(jù)；數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機密性。

-數(shù)字簽名：

發(fā)送方式用自己的私鑰加密；接收方使用發(fā)送方的公鑰解密；身份驗證、數(shù)據(jù)的完整性、操作的不可否認(rèn)性。

-什么是證書：

l PKI系統(tǒng)中的數(shù)字證書簡稱證書

l 它把公鑰和擁有對應(yīng)私鑰的主體的標(biāo)識信息（如名稱、電子郵件、***號等）捆綁在一起

l 證書的主體可以是用戶、計算機、服務(wù)等

l 證書可以用于很多方面：Web用戶身份驗證；Web服務(wù)器身份驗證；安全電子郵件；Internet協(xié)議安全（IPSec）

l 數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA簽發(fā)的

l 證書包含以下信息：使用者的公鑰值；使用者標(biāo)識信息（如名稱和電子郵件地址）；有效期（證書的有效時間）；頒發(fā)者標(biāo)識信息；頒發(fā)者的數(shù)字簽名

-CA的作用：

CA的核心功能就是頒發(fā)和管理數(shù)字證書；具體描述如下：處理證書申請；鑒定申請者是否有資格接收證書；證書的發(fā)放；證書的更新；接收最終用戶數(shù)字證書的查詢、撤銷；產(chǎn)生和發(fā)布證書吊銷列表（CRL）；數(shù)字證書的歸檔；密鑰歸檔；歷史數(shù)據(jù)歸檔。

-證書的發(fā)放過程：

1. 證書申請：用戶根據(jù)個人信息填好申請證書的信息并提交證書申請信息

2. RA確認(rèn)用戶：在企業(yè)內(nèi)部網(wǎng)中，一般使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性

3. 證書策略處理：如果驗證請求成功，那么系統(tǒng)指定的策略就被應(yīng)用到這個請求上，比如名稱的約束、密鑰長度的約束等

4. RA提交用戶申請信息到CA：RA用自己私鑰對用戶申請信息簽名，保證用戶申請信息是RA提交給CA的

5. CA為用戶生成密鑰對，并用CA的簽名密鑰對用戶的公鑰和用戶信息ID進(jìn)行簽名，生成電子證書：這樣CA就將用戶的信息和公鑰捆綁在一起了，然后CA將用戶的數(shù)字證書和用戶的公鑰公布到目錄中

6. CA將電子證書傳送給批準(zhǔn)該用戶的RA

7. RA將電子證書傳送給用戶（或者用戶主動取回）

8. 用戶驗證CA頒發(fā)的證書：確保自己的信息在簽名過程中沒有被纂改，而且通過CA的公鑰驗證這個證書確實由所信任的CA機構(gòu)頒發(fā)