网络攻防学习笔记 Day21
有了数字证书之后,为了支持网络环境下基于数字证书的公开密钥密码应用(加密与解密、签名与验证签名等),需要一个标准的公钥密码的密钥管理平台来实现证书的管理(包括证书的申请、颁发和撤销)、证书的查询、密钥管理(包含密钥更新、密钥恢复和密钥托付等)和策略管理等任务,这就是公钥基础设施(PKI)。
PKI 主要由公钥证书、证书管理机构、证书管理系统、保障证书服务的各种软硬件设备以及相应的法律基础共同组成。其中,公钥证书是 PKI 中最基础的组成部分。
根证书是一份特殊的证书,它的签发者是它本身(根 CA),安装了根证书就表明你对该根证书以及用它所签发的证书都表示信任,不需要再通过其他证书来验证,证书的验证追溯至根证书即结束。
唯一需要与所有实体都建立信任的是根 CA,即每个中间 CA 和终端实体都必须拥有根 CA 的公钥—它的安装一般通过安全的带外方式实现。根 CA 也称为“信任锚(trust anchor)”,即认证的起点或终点。
交叉认证(cross certification)是指通过某种方法将以前无关的 CA 连接在一起,建立起信任关系,彼此可以进行安全认证。它通过信任传递机制来完成两者信任关系的建立,是第三方信息关系的拓展,即一个 CA 的用户信任所有与自己 CA 有交叉认证的其他 CA 的用户。
RA(Registration Authority)是专门负责受理用户申请证书的机构,它是用户和 CA 之间的接口。RA 负责对用户进行资格审查,收集用户信息并核实用户身份的合法性,然后决定是批准还是拒绝用户的证书申请。
CA 采用“证书目录”的方式集中存储和管理证书,通过建立目录服务器证书库的方式为用户提供证书服务。
PKI 策略是指一个组织建立和定义的公钥管理方面的指导方针、处理方法和原则。在 PKI 中有两种类型的策略:一是证书策略,用于管理证书的使用;另一个是证书实践指南(CertificatePractice Statement,CPS)。
只能对用于解密的私钥进行备份和恢复,对用于数字签名的私钥不能进行备份和恢复,因为在 PKI 中数字签名用于实现不可否认服务,这就要求与时间戳服务相结合,因此数字签名有时间性要求。如果用于数字签名的私钥损坏或泄露,只能撤销证书。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/325a139467ef17dc7fbc1a2c0】。文章转载请联系作者。
评论