數字證書

互聯網通訊中標志通訊各方身份信息的一串數字。

提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。

發行機構

CA——證書授權（Certificate Authority）中心

是由可信任的認證中心（CA）創建用戶證書，並由CA或用戶放在目錄中。

內容

是有有效期的，會過期。

數字證書的國際標准是X.509

•X.509方案的核心是與每個用戶相關聯的公鑰證書。

目錄服務器本身不負責公鑰的產生和認證功能；它只為用戶獲取證書提供一個容易訪問的場所。

數字證書格式

數字證書示例

　　Certificate: 
　　Data: 
　　Version: 3 (0x2) 
　　Serial Number: 368716 (0x5a04c) 
　　Signature Algorithm: sha1WithRSAEncryption 
　　Issuer:C=US,O=Equifax, 
　　OU=Equifax Secure Certificate Authority 
　　Validity 
　　Not Before: Jan 4 17:09:06 2006 GMT 
　　Not After : Jan 4 17:09:06 2011 GMT 
　　Subject: C=US, ST=California, L=Santa Clara, 
　　O=Yahoo! Inc., OU=Yahoo, CN=login.yahoo.com 
　　Subject Public Key Info: 
　　Public Key Algorithm: rsaEncryption 　　

PKI

Public Key Infrastructure——“ 公鑰基礎設施 ”

•采用證書管理公鑰，通過CA把用戶的公鑰和用戶的其他標識信息捆綁在一起，在互聯網上驗證用戶的身份

一個機構，是一種遵循既定標准的密鑰管理平台,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。

功能

PKI 是一種利用公鑰加密技術為用戶提供安全通信的技術。

包括加密、數字簽名(公鑰數字簽名)**、數據完整性機制、數字信封、雙重數字簽名等基礎技術。

PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

PKI的信任模型1：上往下

PKI的信任模型：上下間相互

PKI的信任模型3：橋CA連接兩個CA網

PKI的組成

認證機構CA

管理所有用戶整數，把用戶的KU和其他信息捆在一起，打包驗證用戶身份。

對於黑名單：登記黑名單、發布黑名單。

CA系統的主要功能：對證書進行管理，包括頒發、廢除、更新、驗證證書和管理密鑰。

注冊機構RA

負責錄入申請者的信息、審核、發放證書。

管理已經發放的證書。

證書庫

網上公共信息庫，用於集中存放證書，用戶可以從此處獲得其他用戶的證書和公鑰。

證書庫是CA所簽發的證書和CRL的集中存放地。

密鑰備份及恢復系統

證書撤銷處理系統

證書注銷列表

記錄尚未過期但已聲明作廢的用戶證書序列號，供證書使用者在認證對方證書查詢使用。

證書撤銷原因

密鑰泄漏和證書所有者狀態改變。

PKI必須提供一種允許用戶檢查證書的撤銷狀態的機制

PKI應用接口系統組成

1、可拓展

2、多用戶

3、支持多環境、多操作系統

典型應用