PKI體系結構之SCEP

PKI的基本組成:
 

 

1 終端實體

證書的申請者和持有者。既證書格式中的主體。

2 認證中心（CA）

CA 是證書的頒發機構，是PKI 的核心，職責是接收終端用戶的申請，決定是否爲其頒發證書；處理證書的更新請求；處理證書的查詢請求；發佈CRL 等。

3 RA
協助CA 負責爲已受權的證書申請者製做、發放和管理證書，在RA 存在的狀況下，終端實體經過RA 提出證書申請，此時終端實體除了得到CA 自簽名證書外，還要得到由CA 頒發的RA 證書。

4 證書庫

證書庫是CA頒發證書和撤消證書的集中存放地。

SCEP，Simple Certificate Enrollment Protocol，簡單證書登記協議。 由Cisco公司開發，用於網絡設備的證書登記協議，採用PKCS#10和PKCS#7來支持證書的請求和響應消息。SCEP支持CRL和網絡設備做出的證書詢問，SCEP不是完整的證書管理協議，SCEP是爲網絡設備部署PKI的唯一可行的選擇。

SCEP 在申請證書前須要具有如下兩個前提條件：具備一對RSA 密鑰；已知CA 服務器URL。SCEP 擁有的這對密鑰便是未來CA 頒發的服務器證書中SubjectPublicKeyInfo域中要包含的內容，同時，SSL 在剩餘的創建鏈接過程當中還要使用其中的密鑰信息，所以密鑰的生成能夠交由SSL 模塊完成，以後再將密鑰提供給SCEP 用來申請證書。由於SCEP 申請證書的過程用到了HTTP 消息，因此必須知道CA 服務器的URL。

更正最下面那條線是多餘的