PKI
PKI(公鑰基礎設施)是一個集合體跷敬,由一系列的軟件、硬件热押、組織干花、個體、法律和流程組成楞黄。
主要目的就是向客戶端提供服務器身份認證。
認證的基礎就是必須找到一個可信的第三方抡驼。
認證的技術方案就是數(shù)字簽名技術鬼廓。
第三方組織能夠使用數(shù)字簽名技術管理組織,包括創(chuàng)建致盟、存儲碎税、更新、撤銷證書馏锡。
PKI涉及的領域比較廣泛雷蹂,是一個相對松散的概念。
X.509
為了規(guī)范化PKI技術杯道,出現(xiàn)很多標準匪煌,最常用的標準是X.509標準.
證書是PKI中最重要、最核心的內容。
通常萎庭,人們提到的證書也可以認為是X.509標準證書霜医。
X.509有三個版本。
最常用的是V3版本驳规。
V2版本修復了一些潛在問題肴敛;
V3引入了擴展,使證書更加規(guī)范吗购。
pki組成.png
- 服務器實體:證書的申請者医男。比如www.example.com可以申請一張證書,證書可以證明他的身份捻勉,作用就和身份證镀梭、護照一樣。
- CA機構:證書簽發(fā)機構贯底。在審核服務器的信息后丰辣,給其簽發(fā)證書。證明使用CA機構的密鑰對對服務啟實體證書進行簽名禽捆。
- OCSP:說明了證書的狀態(tài)笙什,比如是否吊銷。他和CRL的作用基本一樣胚想。
OCSP比CRL更新琐凭,服務更好,能夠更好的核實證書浊服。但是一些舊的瀏覽器還不支持OCSP協(xié)議统屈。
ASN.1和X.509
談起證書,都會提到ASN.1牙躺。
ASN.1也是一種標準愁憔,用來結構化描述證書。
可以這樣理解:
X.509規(guī)范了證書的內容孽拷,ASN.1類似于偽代碼吨掌,用來描述X.509.
