PKI体系架构

PKI体系架构
如图所示,一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。

图片.png

终端实体EE(End Entity)
终端实体也称为PKI实体,它是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、防火墙)或计算机中运行的进程。
证书认证机构CA(Certificate Authority)
CA是PKI的信任基础,是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构,通常由服务器充当,例如Windows Server 2008。
如图所示,CA通常采用多层次的分级结构,根据证书颁发机构的层次,可以划分为根CA和从属CA。
根CA是公钥体系中第一个证书颁发机构,它是信任的起源。根CA可以为其它CA颁发证书,也可以为其它计算机、用户、服务颁发证书。对大多数基于证书的应用程序来说,使用证书的认证都可以通过证书链追溯到根CA。根CA通常持有一个自签名证书。
从属CA必须从上级CA处获取证书。上级CA可以是根CA或者是一个已由根CA授权可颁发从属CA证书的从属CA。上级CA负责签发和管理下级CA的证书,最下一级的CA直接面向用户。例如,CA2和CA3是从属CA,持有CA1发行的CA证书;CA4、CA5和CA6是从属CA,持有CA2发行的CA证书。
当某个PKI实体信任一个CA,则可以通过证书链来传递信任,证书链就是从用户的证书到根证书所经过的一系列证书的集合。当通信的PKI实体收到待验证的证书时,会沿着证书链依次验证其颁发者的合法性。
CA层次示意图

图片.png

    CA的核心功能就是发放和管理数字证书,包括:证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL(Certificate Revocation List)的发布等。
    证书注册机构RA(Registration Authority)
RA是数字证书注册审批机构,RA是CA面对用户的窗口,是CA的证书发放、管理功能的延伸,它负责接受用户的证书注册和撤销申请,对用户的身份信息进行审查,并决定是否向CA提交签发或撤销数字证书的申请。
    RA作为CA功能的一部分,实际应用中,通常RA并不一定独立存在,而是和CA合并在一起。RA也可以独立出来,分担CA的一部分功能,减轻CA的压力,增强CA系统的安全性。
    证书/CRL存储库
    由于用户名称的改变、私钥泄露或业务中止等原因,需要存在一种方法将现行的证书吊销,即撤销公钥及相关的PKI实体身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表CRL。
    任何一个证书被撤销以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。因此,CRL提供了一种检验证书有效性的方式。
    证书/CRL存储库用于对证书和CRL等信息进行存储和管理,并提供查询功能。构建证书/CRL存储库可以采用FTP(File Transfer Protocol)服务器、HTTP(Hypertext Transfer Protocol)服务器或者数据库等等。
PKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。
证书申请
证书申请即证书注册,就是一个PKI实体向CA自我介绍并获取证书的过程。通常情况下PKI实体会生成一对公私钥,公钥和自己的身份信息(包含在证书注册请求消息中)被发送给CA用来生成本地证书,私钥PKI实体自己保存用来数字签名和解密对端实体发送过来的密文。
PKI实体向CA申请本地证书有以下两种方式:
    在线申请
    PKI实体支持通过SCEP(Simple Certificate Enrollment Protocol)或CMPv2(Certificate Management Protocol version 2)协议向CA发送证书注册请求消息来申请本地证书。
    离线申请(PKCS#10方式)
    离线申请是指PKI实体使用PKCS#10格式打印出本地的证书注册请求消息并保存到文件中,然后通过带外方式(如Web、磁盘、电子邮件等)将文件发送给CA进行证书申请。
还有种方式,PKI实体可以为自己颁发一个自签名证书或本地证书,实现简单的证书颁发功能。
证书颁发
PKI实体向CA申请本地证书时,如果有RA,则先由RA审核PKI实体的身份信息,审核通过后,RA将申请信息发送给CA。CA再根据PKI实体的公钥和身份信息生成本地证书,并将本地证书信息发送给RA。如果没有RA,则直接由CA审核PKI实体身份信息。
证书存储
CA生成本地证书后,CA/RA会将本地证书发布到证书/CRL存储库中,为用户提供下载服务和目录浏览服务。
证书下载
PKI实体通过SCEP或CMPv2协议向CA服务器下载已颁发的证书,或者通过HTTP或者带外方式,下载已颁发的证书。该证书可以是自己的本地证书,也可以是CA/RA证书或者其他PKI实体的本地证书。
证书安装
PKI实体下载证书后,还需安装证书,即将证书导入到设备的内存中,否则证书不生效。该证书可以是自己的本地证书,也可以是CA/RA证书,或其他PKI实体的本地证书。
证书验证
PKI实体获取对端实体的证书后,当需要使用对端实体的证书时,例如与对端建立安全隧道或安全连接,通常需要验证对端实体的本地证书和CA的合法性(证书是否有效或者是否属于同一个CA颁发等)。如果证书颁发者的证书无效,则由该CA颁发的所有证书都不再有效。但在CA证书过期前,设备会自动更新CA证书,异常情况下才会出现CA证书过期现象。
PKI实体可以使用CRL或者OCSP(Online Certificate Status Protocol)方式检查证书是否有效。使用CRL方式时,PKI实体先查找本地内存的CRL,如果本地内存没有CRL,则需下载CRL并安装到本地内存中,如果证书在CRL中,表示此证书已被撤销。使用OCSP方式时,PKI实体向OCSP服务器发送一个对于证书状态信息的请求,OCSP服务器会回复一个“有效”(证书没有被撤销)、“过期”(证书已被撤销)或“未知”(OCSP服务器不能判断请求的证书状态)的响应。
证书更新
当证书过期、密钥泄露时,PKI实体必须更换证书,可以通过重新申请来达到更新的目的,也可以使用SCEP或CMPv2协议自动进行更新。
设备在证书即将过期前,先申请一个证书作为“影子证书”,在当前证书过期后,影子证书成为当前证书,完成证书更新功能。

申请“影子证书”的过程,实质上是一个新的证书注册的过程。
证书撤销
由于用户身份、用户信息或者用户公钥的改变、用户业务中止等原因,用户需要将自己的数字证书撤销,即撤销公钥与用户身份信息的绑定关系。在PKI中,CA主要采用CRL或OCSP协议撤销证书,而PKI实体撤销自己的证书是通过带外方式申请。


HTTP、HTTPS、SSL、TLS、CA证书、CSR(列表、list、全)HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » PKI体系架构

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!