PKI CA與證書服務

2021-08-29 18:16:38 字數 1944 閱讀 1388

目錄

pki ca

raldap目錄服務

crl證書作廢系統

數字證書

證書驗證

證書撤銷

證書更新

pki系統的構成

pki(public key infrastructure)公鑰基礎設施,是提供公鑰加密和數字簽名服務的系統或平台,目的是為了管理金鑰和證書。乙個機構通過採用 pki 框架管理金鑰和證書可以建立乙個安全的網路環境。

是乙個包括硬體、軟體、人員、策略和規程的集合,用來實現基於公鑰密碼體制的金鑰和數字證書的產生、管理、儲存、分發和撤銷等功能。

如同電力基礎設施為家用電器提供電力一樣,pki為各種應用提供安全保障,提供網路信任基礎

pki的基礎技術包括:公鑰加密、數字簽名、資料完整性機制、數字信封(混合加密)、雙重數字簽名等

pki體系能夠實現的功能有:

ca(certificate authority,證書頒發機構),是pki系統的核心。ca的作用包括處理證書申請、 發放證書、 更新證書、 接受終端使用者數字證書的查詢、撤銷產生和發布證書吊銷列表(crl) 數字證書歸檔 等

ca層次結構

多層次結構,優點

ra(registtaion authority,證書序號產生器構),進行證書申請者的身份認證,向ca提交證書申請請求,驗證接收到的ca簽發的證書,並將之發放給證書申請者,必要時,還協助證書作廢。類似於申請身份證的派出所

ldap(lightweight directory access protocol)輕量目錄訪問協議,證書的儲存庫,提供了證書的儲存、修改、刪除和獲取的能力。ca採用ldap標準的目錄服務存放證書,其作用與資料庫相同,優點是在修改操作少的情況下,對於訪問的效率比傳統資料庫要高

crl (certificate revocation list):證書撤銷列表,也稱「證書黑名單」,在證書的有效期期間,因為某種原因(如人員調動、私鑰

洩漏等等),導致相應的數字證書內容不再是真實可信。此時,進行證書撤銷,說明該證書無效,crl中列出了被撤銷的證書序列號

數字證書用於保證金鑰的合法性,證書的主體可以是使用者、計算機、服務等。證書格式遵循x.509標準,數字證書包含: 使用者的公鑰、 使用者標識資訊(如名稱和電子郵件位址) 有效期(證書的有效時間)、 頒發者標識資訊 、頒發者的數字簽名等。數字證書由權威公正的第三方機構即ca簽發。

當pki中某實體的私鑰被洩漏時,洩密私鑰對應的公鑰證書應被作廢。或者如果證書中包含的證書持有者和某組織的關係已經中止,相應的公鑰證書也應該被作廢。

在金鑰洩漏的情況下,將產生新的金鑰和新的證書;在並未洩漏的情況下,金鑰也應該定時更換。

如果ca和其下屬的金鑰同時到達有效期截止日期,則ca和其下屬同時更換金鑰,ca用自己的新私鑰為下屬成員的新公鑰簽發證

書。如果ca和其下屬的金鑰不是同時到達有效期截止日期,當使用者的金鑰到期後,ca將用它當前的私鑰為使用者的新公鑰簽發證書,而到達ca金鑰的截止日期時,ca用新私鑰為所有使用者的當前公鑰重新簽發證書。

不管哪一種更換方式,pki中的實體都應該在金鑰截止之前取得新金鑰對和新證書。在截止日期到達後,pki中的實體開始使用新

私鑰來簽名資料,同時應該將舊金鑰對和證書歸檔儲存。

完整的pki系統必須具有 權威認證機構(ca)、證書序號產生器構(ra)、數字證書庫ldap、金鑰備份及恢復系統、證書作廢系統crl、應用介面(api)等基本組成部分,構建 pki 也將圍繞著這五大系統來著手構建

PKI CA數字證書驗證過程

簽名 私鑰 加密 hash值。公鑰解密 加密資料 公鑰加密,私鑰解密。數字證書 ca 頒發者有效期 使用者序列號 公鑰指紋演算法 指紋注 ca證書伺服器 身份號碼 ca機構簽名 第一階段 生成證書 裝置上產生公鑰a和私鑰 將公鑰a傳送給ca ca製作證書 頒發者有效期 使用者序列號 演算法公鑰 加上...

ssl證書服務

ssl證書,常見的雲盾證書 目前多見使用免費的dv級,但是免費的只能繫結乙個網域名稱,如果客戶主網域名稱下還有多個子網域名稱,那麼子網域名稱無法受到加密保護。而付費的萬用字元證書可以保護子網域名稱。目前ssl證書中的geotrust和globalsign正處於7月活動期間,1年75折,2年65折。g...

tornado SSL 證書獲取與伺服器配置

自動化測試 持續整合 測試開發 qq 70160503 cd usr lib ssl sudo openssl genrsa des3 out server.key 1024 sudo openssl req new key server.key out server.csr config open...