前面幾章主要是介紹了PKI的一些基礎信息松申,比如為什么需要引入PKI云芦,證書為什么是由那些信息組成的俯逾。接下來這兩章是介紹PKI的整體架構以及在實際使用中會有哪些操作。
體系架構
上圖就是一般情況下的PKI體系架構舅逸,一個PKI體系由終端實體EndEntity纱昧、證書認證機構CA、證書注冊機構RA和證書/CRL存儲庫四部分共同組成堡赔。
終端實體EE(End Entity) 終端實體也稱為PKI實體识脆,它是PKI產品或服務的終使用者,可以是個人善已、組 織灼捂、設備(如路由器、防火墻)或計算機中運行的進程换团。
證書認證機構CA(Certificate Authority) CA是PKI的信任基礎悉稠,是一個用于頒發(fā)并管理數(shù)字證書的可信實體。它是一種權威性艘包、可信任性和公正性的第三方機構的猛,通常由服務器充當,例如Windows Server 2008想虎。
證書注冊機構RA(Registration Authority) RA是數(shù)字證書注冊審批機構卦尊,RA是CA面對用戶的窗口,是CA的證書發(fā)放舌厨、管理 功能的延伸岂却,它負責接受用戶的證書注冊和撤銷申請,對用戶的身份信息進行審 查裙椭,并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請躏哩。 RA作為CA功能的一部分,實際應用中揉燃,通常RA并不一定獨立存在扫尺,而是和CA合并在一起。RA也可以獨立出來炊汤,分擔CA的一部分功能正驻,減輕CA的壓力,增強CA系統(tǒng)的安全性婿崭。
證書/CRL存儲庫 由于用戶名稱的改變拨拓、私鑰泄露或業(yè)務中止等原因,需要存在一種方法將現(xiàn)行的 證書吊銷氓栈,即撤銷公鑰及相關的PKI實體身份信息的綁定關系渣磷。在PKI中,所使用的這種方法為證書廢除列表CRL授瘦。 任何一個證書被撤銷以后醋界,CA就要發(fā)布CRL來聲明該證書是無效的竟宋,并列出所有被廢除的證書的序列號。因此形纺,CRL提供了一種檢驗證書有效性的方式丘侠。 證書/CRL存儲庫用于對證書和CRL等信息進行存儲和管理,并提供查詢功能逐样。構建證書/CRL存儲庫可以采用FTP(File Transfer Protocol)服務器蜗字、HTTP (Hypertext Transfer Protocol)服務器或者數(shù)據(jù)庫等等。
