目录

PKI

CA

RA

LDAP目录服务

CRL证书作废系统

数字证书

证书验证

证书撤销

证书更新

PKI系统的构成


PKI

PKI(Public Key Infrastructure)公钥基础设施,是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用 PKI 框架管理密钥和证书可以建立一个安全的网络环境。

  • 利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。
  • 是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和数字证书的产生、管理、存储、分发和撤销等功能。
  • 如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障,提供网络信任基础

PKI的基础技术包括:公钥加密、数字签名、数据完整性机制、数字信封(混合加密)、双重数字签名等

PKI体系能够实现的功能有:

  • 身份验证
  • 数据完整性
  • 数据机密性
  • 操作的不可否认性

CA

CA(Certificate Authority,证书颁发机构),是PKI系统的核心。CA的作用包括处理证书申请、 发放证书、 更新证书、 接受最终用户数字证书的查询、撤销产生和发布证书吊销列表(CRL) 数字证书归档 等

CA层次结构

多层次结构,优点

  • 管理层次分明,便于集中管理、政策制订和实施
  • 提高CA中心的总体性能、减少瓶颈
  • 有充分的灵活性和可扩展性
  • 有利于保证CA中心的证书验证效率

RA

RA(Registtaion Authority,证书注册机构),进行证书申请者的身份认证,向CA提交证书申请请求,验证接收到的CA签发的证书,并将之发放给证书申请者,必要时,还协助证书作废。类似于申请身份证的派出所

LDAP目录服务

LDAP(Lightweight Directory Access Protocol)轻量目录访问协议,证书的存储库,提供了证书的保存、修改、删除和获取的能力。CA采用LDAP标准的目录服务存放证书,其作用与数据库相同,优点是在修改操作少的情况下,对于访问的效率比传统数据库要高

CRL证书作废系统

CRL (Certificate Revocation List):证书撤销列表,也称“证书黑名单”,在证书的有效期期间,因为某种原因(如人员调动、私钥

泄漏等等),导致相应的数字证书内容不再是真实可信。此时,进行证书撤销,说明该证书无效,CRL中列出了被撤销的证书序列号

数字证书

数字证书用于保证密钥的合法性,证书的主体可以是用户、计算机、服务等。证书格式遵循 X.509 标准,数字证书包含: 使用者的公钥、 使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间)、 颁发者标识信息 、颁发者的数字签名等。数字证书由权威公正的第三方机构即CA签发。

相关文章:数字证书

证书验证

验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA证书。在使用每个证书前,必须检查相应的CRL(对用户来说这种在线的检查是透明的)。用户检查证书的路径是从最后一个证书(即用户已确认可以信任的CA证书)所签发的证书有效性开始,检验每一个证书,一旦验证后,就提取该证书中的公钥,用于检验下一个证书,直到验证完发送者的签名证书,并将该证书中包括的公钥用于验证签名。

  • 验证证书链中每一个CA证书
  • 上级CA签名的有效性
  • 证书有效期
  • 是否作废:CRL、OCSP

证书撤销

当PKI中某实体的私钥被泄漏时,泄密私钥对应的公钥证书应被作废。或者如果证书中包含的证书持有者和某组织的关系已经中止,相应的公钥证书也应该被作废。

  • 应尽快以电话或书面文件方式通知相应证书的签发CA,在密钥泄漏的情况下,应由泄密私钥的持有者通知CA
  • 在关系中止的情况下,由原关系中组织方或相应的安全机构通知相应的RA或CA
  • 如果RA得到通知,RA应通知相应的CA
  • 一旦请求得到认证,CA在数据库中将该证书标记为已作废,并在下次发布CRL时加入该证书序列号及其作废时间

证书更新

在密钥泄漏的情况下,将产生新的密钥和新的证书;在并未泄漏的情况下,密钥也应该定时更换。

如果CA和其下属的密钥同时到达有效期截止日期,则CA和其下属同时更换密钥,CA用自己的新私钥为下属成员的新公钥签发证

书。

如果CA和其下属的密钥不是同时到达有效期截止日期,当用户的密钥到期后,CA将用它当前的私钥为用户的新公钥签发证书,而到达CA密钥的截止日期时,CA用新私钥为所有用户的当前公钥重新签发证书。

不管哪一种更换方式,PKI中的实体都应该在密钥截止之前取得新密钥对和新证书。在截止日期到达后,PKI中的实体开始使用新

私钥来签名数据,同时应该将旧密钥对和证书归档保存。

PKI系统的构成

完整的PKI系统必须具有 权威认证机构(CA)、证书注册机构(RA)、数字证书库LDAP、密钥备份及恢复系统、证书作废系统CRL、应用接口(API)等基本组成部分,构建 PKI 也将围绕着这五大系统来着手构建

  • 权威认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征,CA是证书的签发机构,它是PKI的核心
  • 证书注册审核系统(RA):该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务
  • 数字证书库LDAP:x.500目录服务器,用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
  • 密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
  • 证书作废系统CRL:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书在有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
  • 应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的API应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

PKI的应用

相关文章:企业证书服务的安装

密码学(对称与非对称密码 哈希算法)

数字签名

数字证书

SSL数字证书工作的原理

PKI/CA与证书服务的更多相关文章

  1. Windows Server中企业证书服务的安装

    目录 企业证书服务的安装 证书服务的应用 企业证书服务的安装 企业证书服务是基于域的,所以需要该服务器是域控服务器. 添加角色,勾选 Active Directory 证书服务 然后后面的一直下一步, ...

  2. 对于PKI(公钥基础结构)及证书服务的通俗理解

    对于PKI及证书服务的这些概念,相信初学者会有许多迷惑的地方,那是因为其中的某些关键概念没有理解清楚,我力争以通俗易懂的方式给初学者一些启示,也给以后自己忘了的时候一个参考:) ! 参考资料:http ...

  3. 自己搭建CA颁发证书做https加密网站

    192.168.10.187 CA服务器 192.168.10.190 web服务器 (1)搭建CA cd /etc/pki/CA 在这个目录下创建serial和index.txt两个文件 echo ...

  4. nginx配置https双向验证(ca机构证书+自签证书)

    nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器http ...

  5. 二进制文件安装k8s所需要的证书服务

    利用二进制文件安装etcd所需要的证书服务 CFSSL是CloudFlare开源的一款PKI/TLS工具. CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API ...

  6. Security基础(三):OpenSSL及证书服务、邮件TLS/SSL加密通信

    一.OpenSSL及证书服务 目标: 本案例要求熟悉OpenSSL工具的基本使用,完成以下任务操作: 使用OpenSSL加密/解密文件 搭建企业自有的CA服务器,为颁发数字证书提供基础环境 方案: 使 ...

  7. 搭建CA颁发证书做https加密网站

    92.168.10.187 CA服务器 192.168.10.190 web服务器 (1)搭建CA cd /etc/pki/CA 在这个目录下创建serial和index.txt两个文件 echo 0 ...

  8. [加密]证书、CA、证书信任链

    转自:https://www.jianshu.com/p/6bf2f9a37feb TLS 传输层安全性协定 TLS(Transport Layer Security),及其前身安全套接层 SSL(S ...

  9. PKI/CA

    PKI( Public Key Infrastructure )指的是公钥基础设施. CA ( Certificate Authority )指的是认证中心. PKI从技术上解决了网络通信安全的种种障 ...

随机推荐

  1. 摄像机+LookAt矩阵+视角移动+欧拉角

    一: 摄像机 OpenGL本身没有摄像机(Camera)的概念,但我们可以通过把场景中的所有物体往相反方向移动的方式来模拟出摄像机,产生一种我们在移动的感觉,而不是场景在移动. 以摄像机的视角作为场景 ...

  2. Windows-Redis占用C盘系统空间

    发现redis在电脑死机蓝屏的情况下,就是非正常退出redis会导致redis的缓存文件不会回收,占用系统空间, 下次在启动的时候,会再次创建一个10G多的缓存文件,极度占用磁盘空间. 现说明解决办法 ...

  3. Jmeter 分布式架构和服务器性能监控解决方案

    在对项目做大并发性能测试时,常会碰到并发数比较大(比如需要支持10000并发),单台电脑的配置(CPU和内存)可能无法支持,这时可以使用Jmeter提供的分布式测试的功能来搭建分布式并发环境 . 一. ...

  4. POJ_2253 Frogger 【最短路变形】

    一.题目 Frogger 二.分析 题意关键点就是那个青蛙距离.就是所有1到2的点的路径中,每条路径都可以确定一个最大值,这个最大值就是青蛙要跳的青蛙距离,然后要求这个青蛙距离最小值. 其实就是最短路 ...

  5. 在用free()函数释放指针内存时为何要将其指针置空

    在通过free()函数释放指针内存之后讲其指针置空,这样可以避免后面的程序对与该指针非法性的判断所造成的程序崩溃问题.释放空间,指针的值并没有改变,无法直接通过指针自身来进行判断空间是否已经被释放,将 ...

  6. C++覆盖,隐藏,重载

    code[class*="language-"], pre[class*="language-"] { color: rgba(51, 51, 51, 1); ...

  7. 5、MyBatis教程之ResultMap

    6.ResultMap 要解决的问题:属性名和字段名不一致 1.查看之前的数据库的字段名 2.Java中的实体类设计 public class User { private int id; //id ...

  8. 「HTML+CSS」--自定义按钮样式【003】

    前言 Hello!小伙伴! 首先非常感谢您阅读海轰的文章,倘若文中有错误的地方,欢迎您指出- 哈哈 自我介绍一下 昵称:海轰 标签:程序猿一只|C++选手|学生 简介:因C语言结识编程,随后转入计算机 ...

  9. 一文带大家彻底搞懂Hystrix!

    前言? Netflix Hystrix断路器是什么? Netflix Hystrix是SOA/微服务架构中提供服务隔离.熔断.降级机制的工具/框架.Netflix Hystrix是断路器的一种实现,用 ...

  10. Spring Boot 轻量替代框架 Solon 1.3.20 发布

    Solon 是一个微型的Java开发框架.项目2018年启动,参考过大量前人作品:内核0.1m的身材,超高的跑分,以及良好的使用体验.支持:RPC.REST API.MVC.WebSocket.Soc ...