一、公鑰基礎設施
公鑰基礎設施 PKI(Public Key Infrastructure)是通過使用公鑰技術和數據證書來提供信息系統安全服務,並負責驗證數字證書持有者身份的一種體系。PKI 基礎設施采用證書管理公鑰,通過第三方可信任認證中心,把用戶的公鑰和用戶的身份信息捆綁在一起,它是具有通用性的安全基礎設施,是一套服務體系。
PKI 的功能是通過答發數據證書來綁定證書持有者的身份和相關的公開密鑰,為用戶獲取證書、訪問證書和撤銷證書提供方便的途徑。同時利用數字證書及相關的各種服務(證書發布、黑名單發布等)實現通信過程中實體的身份認證,保證了通信數據的機密性、完整性、不可否認性和認證性。
二、PKI 體系架構
PKI 體系架構由證書申請者、注冊機構RA、認證中心CA、證書撤銷列表CRL組成。
(1)CA(Certification Authority):負責證書的頒發和吊銷(Revoke),接收來自 RA 的請求,是最核心的部分。
(2)RA(Registration Authority):對用戶身份進行驗證,校驗數據合法性,負責登記,審核過了就發給 CA。
(3)證書存儲庫:存放證書,多采用 X.500 系列標准格式。
常見的操作流程為,用戶通過 RA 登記申請證書,提供身份和認證信息等;CA 審核后完成證書的制造,頒發給用戶。用戶如果需要撤銷證書則需要再次向 CA 發出申請。
三、證書的簽發
CA 對用戶簽發證書實際上是對某個用戶公鑰,使用 CA 的私鑰對其進行簽名,這樣任何人都可以用 CA 的公鑰對該證書進行合法性驗證,驗證成功則認可該證書中所提供的用戶公鑰內容,實現用戶公鑰的安全分發。
用戶證書的簽發可以有兩種方式。一般可以由 CA 直接來生成證書(內含公鑰)和對應的私鑰發給用戶;也可以由用戶自己生成公鑰和私鑰,然后由 CA 來對公鑰內容進行簽名。
PKI實體向CA申請本地證書有以下兩種方式:(1)在線申請 (2)離線申請
四、證書的撤銷
證書超出有效期后會作廢,用戶也可以主動向 CA 申請撤銷某證書文件,由於 CA 無法強制收回已經頒發出去的數字證書,因此為了實現證書的作廢,往往還需要維護一個撤銷證書列表(Certificate Revocation List,CRL),用於記錄已經撤銷的證書序號。
因此,通常情況下,當第三方對某個證書進行驗證時,需要首先檢查該證書是否在撤銷列表中。如果存在,則該證書無法通過驗證。如果不在,則繼續進行后續的證書驗證過程。