PKI的概念及证书服务器工作过程

2023-11-09 理论教育版权反馈

【摘要】：任务描述掌握PKI系统的概念；能够理解证书服务器的工作过程。PKI体系是计算机软硬件、权威机构及应用系统的结合。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的。通常来说，CA是证书的签发机构，它是PKI的核心。

任务描述

掌握PKI系统的概念；能够理解证书服务器的工作过程。

任务目标

掌握PKI系统的概念。

1.PKI系统介绍

公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。

PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。

一个典型的PKI系统包括PKI安全策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI的应用等。

(1)PKI安全策略

建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。

(2)证书机构CA

证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。

(3)注册机构RA

注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里所说的用户，是指将要向认证中心(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全。

(4)证书发布系统(www.chuimin.cn)

证书发布系统负责证书的发放，如可以通过用户自己或是通过目录服务器发放。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的。

(5)PKI的应用

PKI的应用非常广泛，包括应用在Web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)，以及在Internet上的信用卡交易和虚拟私有网(VPN)等。

通常来说，CA是证书的签发机构，它是PKI的核心。众所周知，构建密码服务系统的核心内容是实现密钥管理。公钥体制涉及一对密钥(即私钥和公钥)，私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，较好的方案是使用数字证书机制。

PKI的标准可分为两类:一类用于定义PKI，而另一类用于PKI的应用，下面主要介绍定义PKI的标准。

①描述在网络上传输信息格式的标准方法ASN.1。它有两部分:第一部分(ISO 8824/ITU X.208)描述信息内的数据、数据类型及序列格式(即数据的语法)；第二部分(ISO 8825/ITU X.209)描述如何将各部分数据组成消息，也就是数据的基本编码规则。这两个协议除了在PKI体系中被应用外，还被广泛应用于通信和计算机的其他领域。

②目录服务系统标准X.500(1993)。X.500是一套已经被国际标准化组织(ISO)接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。X.500是层次性的，其中的管理域(机构、分支、部门和工作组)可以提供这些域内的用户和资源信息。在PKI体系中，X.500被用来唯一标识一个实体，该实体可以是机构、组织、个人或一台服务器。X.500被认为是实现目录服务的最佳途径，但X.500的实现需要较大的投资，并且比其他方式速度慢；但其优势是具有信息模型、多功能和开放性。

③IDAP轻量级目录访问协议IDAP V3。LDAP规范(RFCl487)简化了笨重的X.500目录访问协议，并且在功能性、数据表示、编码和传输方面都进行了相应的修改，1997年，LDAP第3版本成为互联网标准。IDAP V3已经在PKI体系中被广泛应用于证书信息发布、CRI信息发布、CA政策及与信息发布相关的各个方面。

④数字证书标准X.509(1993)。X.509是国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保用户名称唯一性的基础上，X.509为X.500用户名称提供了通信实体的鉴别机制并规定了实体鉴别过程中广泛适用的证书语法和数据接口。X.509的最初版本公布于1988年，由用户公开密钥和用户标识符组成。此外，还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。这一标准的最新版本是X.509 V3，该版数字证书提供了一个扩展信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送。

⑤OCSP在线证书状态协议。OCSP(Online Certificate Status Protocol)是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道，使PKI体系能够更有效、更安全地在各个领域中被广泛应用。

⑥PKCS系列标准。PKCS是南美RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、扩展证书内容及数字签名、数字信封的格式等方面的一系列相关协议。

2.证书颁发机构的概念

Microsoft Active Directory证书服务(AD CS)是一个平台，提供用于发布和管理公共密钥基础结构(PKI)证书的服务。这些数字证书用于保护HTTPS连接，验证网络上的设备和用户等。此服务已在Windows Server 2000中引入，并且自Windows Server 2008 R2起，AD CS在服务器管理器中可用作服务器。

PKI的概念及证书服务器工作过程

相关推荐