《HTTPS權威指南》讀書筆記——PKI

• 互聯網公鑰基礎設施
  • 基於可信的第三方機構（CA，certification authority）實現不一樣成員在不見面的狀況下進行安全通訊
  • 訂閱人
    • 須要證書來提供安全服務的團體
  • 登記機構（RA）
    • 完成證書籤發的相關管理工做，如對用戶進行必要的身份認證
  • 證書頒發機構（CA）
    • 確認用戶身份後頒發證書
    • 在線提供其所簽發證書的最新吊銷信息
  • 信賴方
    • 執行證書驗證的網頁瀏覽器、其餘程序及操做系統
      
• 證書
  • 證書是包含公鑰、訂閱人相關信息以及證書頒發者數字簽名的數字文件
  • 抽象語法表示法1（ASN.1）是支持複雜數據結構和對象的定義、傳輸、交換的一系列規則
  • X.509依賴於惟一編碼規則（DER），只容許一種方式編碼ASN.1的值
  • PEM是DER使用Base64編碼後的ASCII編碼格式
  • 證書字段
    • 版本：共3個版本，版本1只支持簡單字段、版本2增長了2個標識符、版本3增長了擴展功能
    • 序列號：序列號須要是無序的且至少包括20位的熵
    • 簽名算法：證書籤名所用的算法
    • 頒發者（issuer）：包含頒發者的DN，根據不一樣的實體會包含其餘的部分。
    • 有效期：包含開始時間和結束時間
    • 使用者（suject）：使用者的實體DN，和公鑰一塊兒用於證書籤發，在自簽名證書中，使用者和頒發者字段的DN是同樣的。現在使用者字段已經廢棄轉而使用使用者可選名稱擴展
    • 公鑰：使用者公鑰信息
  • 證書擴展：包含惟一的對象標識符（OID）、關鍵擴展標識器以及ASN.1格式的值
    • 使用者可選名稱：支持經過DNS、IP地址、URI來將多個身份綁定在一塊兒
    • 名稱約束：能夠限制CA簽發證書的對象，好比只容許2級CA簽發該公司的所擁有域名的證書
    • 基礎約束：用來代表證書是不是CA證書，同時經過路徑長度（path length）約束字段，限制二級CA證書路徑的深度
    • 密鑰用法：定義了證書中密鑰可用的場景。
    • 擴展密鑰用法：爲了更加靈活的支持和限制公鑰的使用場景
    • 證書策略：包含一個或多個策略每一個策略都包含一個OID和可選限定符，其主要做用是代表證書是在何種條款下下發的。
    • CRL分發點：該擴展用於肯定證書吊銷列表（CRL）的LDAP或HTTP URL地址。每張證書都應該包含CRL和OCSP吊銷信息
    • 頒發機構信息訪問：代表如何訪問簽發CA提供的額外信息和服務
    • 使用者密鑰標識符：用於識別包含特別公鑰的證書
    • 受權密鑰標識符：簽發此證書的CA的惟一標識符，用於在構建證書鏈時，找到頒發者的證書
  • 證書鏈
    • 保證根證書的安全：直接由根證書籤發最終實體證書是不容許的
    • 交叉證書：交叉證書是可讓新CA當即投入運營的惟一方式，經過已經普遍內置瀏覽器的CA對新CA進行簽名
    • 劃分：CA會將不一樣的操做分散給不少二級CA，二級CA通常使用自動化簽發程序進行簽發
      
    • 委派：CA容許某個外部CA能夠給其內部系統進行簽名
  • 證書生命週期
    • 證書的生命週期從訂閱人將CSR提交給CA的時候就開始了