PKI CA與證書服務

pki ca

raldap目錄服務

crl證書作廢系統

數字證書

證書驗證

證書撤銷

證書更新

pki系統的構成

pki（public key infrastructure）公鑰基礎設施，是提供公鑰加密和數字簽名服務的系統或平台，目的是為了管理金鑰和證書。乙個機構通過採用 pki 框架管理金鑰和證書可以建立乙個安全的網路環境。

是乙個包括硬體、軟體、人員、策略和規程的集合，用來實現基於公鑰密碼體制的金鑰和數字證書的產生、管理、儲存、分發和撤銷等功能。

如同電力基礎設施為家用電器提供電力一樣，pki為各種應用提供安全保障，提供網路信任基礎

pki的基礎技術包括：公鑰加密、數字簽名、資料完整性機制、數字信封(混合加密)、雙重數字簽名等

pki體系能夠實現的功能有：

ca（certificate authority，證書頒發機構），是pki系統的核心。ca的作用包括處理證書申請、發放證書、更新證書、接受終端使用者數字證書的查詢、撤銷產生和發布證書吊銷列表（crl）數字證書歸檔等

ca層次結構

多層次結構，優點

ra（registtaion authority，證書序號產生器構），進行證書申請者的身份認證，向ca提交證書申請請求，驗證接收到的ca簽發的證書，並將之發放給證書申請者，必要時，還協助證書作廢。類似於申請身份證的派出所

ldap(lightweight directory access protocol)輕量目錄訪問協議，證書的儲存庫，提供了證書的儲存、修改、刪除和獲取的能力。ca採用ldap標準的目錄服務存放證書，其作用與資料庫相同，優點是在修改操作少的情況下，對於訪問的效率比傳統資料庫要高

crl (certificate revocation list)：證書撤銷列表，也稱「證書黑名單」，在證書的有效期期間，因為某種原因（如人員調動、私鑰

洩漏等等），導致相應的數字證書內容不再是真實可信。此時，進行證書撤銷，說明該證書無效，crl中列出了被撤銷的證書序列號

數字證書用於保證金鑰的合法性，證書的主體可以是使用者、計算機、服務等。證書格式遵循x.509標準，數字證書包含：使用者的公鑰、使用者標識資訊（如名稱和電子郵件位址）有效期（證書的有效時間）、頒發者標識資訊、頒發者的數字簽名等。數字證書由權威公正的第三方機構即ca簽發。

當pki中某實體的私鑰被洩漏時，洩密私鑰對應的公鑰證書應被作廢。或者如果證書中包含的證書持有者和某組織的關係已經中止，相應的公鑰證書也應該被作廢。

在金鑰洩漏的情況下，將產生新的金鑰和新的證書；在並未洩漏的情況下，金鑰也應該定時更換。

如果ca和其下屬的金鑰同時到達有效期截止日期，則ca和其下屬同時更換金鑰，ca用自己的新私鑰為下屬成員的新公鑰簽發證

書。如果ca和其下屬的金鑰不是同時到達有效期截止日期，當使用者的金鑰到期後，ca將用它當前的私鑰為使用者的新公鑰簽發證書，而到達ca金鑰的截止日期時，ca用新私鑰為所有使用者的當前公鑰重新簽發證書。

不管哪一種更換方式，pki中的實體都應該在金鑰截止之前取得新金鑰對和新證書。在截止日期到達後，pki中的實體開始使用新

私鑰來簽名資料，同時應該將舊金鑰對和證書歸檔儲存。

完整的pki系統必須具有權威認證機構(ca)、證書序號產生器構(ra)、數字證書庫ldap、金鑰備份及恢復系統、證書作廢系統crl、應用介面（api）等基本組成部分，構建 pki 也將圍繞著這五大系統來著手構建