PKI與證書服務應用

PKI與證書服務應用

-什麼是PKI：

Public Key Infrastructure，公鑰基礎結構

l PKI由公鑰加密技術、數字認證、證書頒發結構（CA），註冊機構（RA）等共同組成：數字證書用於用戶的身份驗證；CA是一個可信的實體，負責發佈、更新和吊銷證書；RA接受用戶的請求等功能

l PKI體系可以實現的功能有：身份認證；數據完整性；數據機密性；操做的不能否認性

-公鑰（Public Key）和私鑰（Private Key）

密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰能夠互相加密和解密；不能根據一個密鑰來推算得出另外一個密鑰；公鑰對外公開；私鑰只有私鑰的持有人才知道；私鑰應該由私鑰的持有人妥善保管。

-數據加密：

發送方式用接收方的公鑰加密數據；當接收方使用本身的私鑰解密這些數據；數據加密能保證所發送數據的機密性。

-數字簽名：

發送方式用本身的私鑰加密；接收方使用發送方的公鑰解密；身份驗證、數據的完整性、操做的不能否認性。

-什麼是證書：

l PKI系統中的數字證書簡稱證書

l 它把公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵件、***號等）捆綁在一塊兒

l 證書的主體能夠是用戶、計算機、服務等

l 證書能夠用於不少方面：Web用戶身份驗證；Web服務器身份驗證；安全電子郵件；Internet協議安全（IPSec）

l 數字證書是由權威公正的第三方機構即CA簽發的

l 證書包含如下信息：使用者的公鑰值；使用者標識信息（如名稱和電子郵件地址）；有效期（證書的有效時間）；頒發者標識信息；頒發者的數字簽名

-CA的做用：

CA的核心功能就是頒發和管理數字證書；具體描述以下：處理證書申請；鑑定申請者是否有資格接收證書；證書的發放；證書的更新；接收最終用戶數字證書的查詢、撤銷；產生和發佈證書吊銷列表（CRL）；數字證書的歸檔；密鑰歸檔；歷史數據歸檔。

-證書的發放過程：

1. 證書申請：用戶根據我的信息填好申請證書的信息並提交證書申請信息

2. RA確認用戶：在企業內部網中，通常使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性

3. 證書策略處理：若是驗證請求成功，那麼系統指定的策略就被應用到這個請求上，好比名稱的約束、密鑰長度的約束等

4. RA提交用戶申請信息到CA：RA用本身私鑰對用戶申請信息簽名，保證用戶申請信息是RA提交給CA的

5. CA爲用戶生成密鑰對，並用CA的簽名密鑰對用戶的公鑰和用戶信息ID進行簽名，生成電子證書：這樣CA就將用戶的信息和公鑰捆綁在一塊兒了，而後CA將用戶的數字證書和用戶的公鑰公佈到目錄中

6. CA將電子證書傳送給批准該用戶的RA

7. RA將電子證書傳送給用戶（或者用戶主動取回）

8. 用戶驗證CA頒發的證書：確保本身的信息在簽名過程當中沒有被纂改，並且經過CA的公鑰驗證這個證書確實由所信任的CA機構頒發