PKI(公鑰基礎設施)之證書的信任鏈(數字證書鏈)

2021-09-21 14:42:52 字數 2231 閱讀 3499

前面的「證書之什麼是數字簽名?」簡單科普了一下為什麼要使用證書。其實這些以及後面要科普的都是整個公鑰基礎設施pki(public key infrastructure體系中一部分。下面介紹什麼是數字證書的信任鏈。

證書鏈是乙個有序的證書列表,包含ssl證書和證書頒發機構(ca)證書,使接收方能夠驗證傳送方和所有ca是否值得信任。鏈或路徑以ssl證書開頭,鏈中的每個證書都由鏈中下乙個證書標識的實體簽名。

鏈終止於根ca證書。必須驗證鏈中所有證書的簽名,直至根ca證書。根ca證書始終由ca本身簽名。

下圖說明了從證書所有者到根ca的證書路徑

上圖從下往上介紹依次有

根證書:根證書(root certificate)的簽名(root ca』s signature)是用根私鑰(root ca『s private key)籤的。所以驗證根證書簽名(root ca』s signature)要用根公鑰(root ca』s public key)才能驗證通過。這種情況就叫做自簽名(self-sign)。

中介證書:中介證書(intermediate certificate)裡面包含了根證書的名稱(issuer』s /root ca』s name)。中介證書裡面的簽名(issuer』s signature)是用根私鑰(root ca『s private key)籤的,所以需要根公鑰(root ca』s public key)才能驗證通過。

終端實體證書:終端實體證書(end-entity certificate)裡面包含了中介證書的名稱(issuer』s / ca』s name)。終端實體證書裡面的簽名(issuer』s signature)是用中介私鑰(owner『s private key)籤的,所以需要中介公鑰(owner』s public key)才能驗證通過。

常見有四種型別用於使用pki實現信任模型。

a.分層信任模型(hierarchical trust model):

分層模型或樹模型是實現pki的最常見模型。頂部的根ca提供所有資訊,中間ca在層次結構中是下乙個,並且它們僅信任根提供的資訊。根ca還信任層次結構中其級別的中間ca.

這種安排允許在分層樹的所有級別進行高階別的控制,這可能是希望擴充套件其證書處理能力的大型組織中最常見的實現。分層模型允許嚴格控制基於證書的活動。

b.橋接信任模型(bridge trust model):

在橋接信任模型中,我們在root ca之間有許多p2p關係,根ca之間可以相互通訊並允許交叉證書。該實施模型允許在組織(或部門)之間建立認證過程。

在此模型中,每個中間ca僅信任其上方和下方的ca,但可以擴充套件ca結構,而無需建立其他ca層。組織之間的額外靈活性和互操作性是橋模型的主要優勢。

c.混合信任模型(hybrid trust model):

有時您需要在某個部分鏈結兩個或更多組織或部門,並將其他部分分開。當您需要信任兩個組織的某些部分,但您不希望在組織的其他部分中建立信任。在這些時候,混合信任模型可以是最適合您的模型。構建混合信任結構時,您可以非常靈活,此模型的靈活性還允許您去建立混合環境。

請注意,在此結構中,混合環境之外的中間ca只能信任混合環境中的根ca和中間ca,信任連線到混合環境中任何中間ca所有的根ca.

d.網格信任模型(mesh trust model):

當您想要實現具有交叉認證檢查的分層信任模型或根ca的網路時,網格信任模型是您的最佳選擇。在其他景點中,網格模型使用多路徑和多根ca遷移橋結構的概念。

每個根ca中的認證都在所有root ca,中間ca和葉ca以及連線到每個ca鏈的所有終端使用者中獲得授權。

pki trust models(

trust models and management in public-key infrastructures(

1 維基百科

2 how certificate chains work(

3 4

5

公鑰基礎設施PKI

為什麼需要pki pki的基本概念 pki的組成 數字證書 金鑰管理 信任模型 1 公鑰攻擊 公鑰調包 2 公鑰掉調包後 加密 後果 資訊洩露3 公鑰調包後 數字簽名 後果 資訊篡改和身份欺騙 4 如何發布自己的公鑰?1 公開發布 使用者分發自己的公鑰給接收者或廣播給通訊各方 缺點 偽造 任何人都可...

公鑰基礎設施(PKI)簡介

目錄 證書認證機構ca 證書廢除列表crl 金鑰管理 證書使用 公鑰基礎設施 public key infrastructure,簡稱pki 是目前網路安全建設的基礎與核心。pki採用證書進行公鑰管理,通過第三方的可信任機構 認證中心,即ca 把使用者的公鑰和使用者的其他標識資訊 在一起,其中包括使...

PKI公鑰基礎設施(二)

der二進位制編碼,base64編碼格式的檔案中只包含證書 字尾.cer pkcs12 格式的檔案中即包含證書又包含私鑰 字尾 pfx p12 pkcs7 格式的檔案中包含證書以及證書鏈中所有證書 字尾 p7b pkcs10,客戶端向ca申請數字證書的請求 其中包含使用者個人資訊以及使用者公鑰資訊,...