隨著社會越來越發(fā)達(dá)，大家都選擇在網(wǎng)絡(luò)上汲取相關(guān)知識內(nèi)容，比如ca認(rèn)證是什么(ca數(shù)字證書初始密碼)，為了更好的解答大家的問題，小編也是翻閱整理了相應(yīng)內(nèi)容，下面就一起來看一下吧！

(相關(guān)資料圖)

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）

一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。

簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI技術(shù)是信息安全技術(shù)的核心。

一個PKI體系由終端實(shí)體、認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)和證書/CRL存儲庫四部分共同組成：

1、終端實(shí)體，是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個人、組織、設(shè)備（如路由器、交換機(jī)）或計(jì)算機(jī)中運(yùn)行的進(jìn)程。

2、認(rèn)證機(jī)構(gòu)CA（Certificate Authority），是PKI的信任基礎(chǔ)，是一個用于簽發(fā)并管理數(shù)字證書的可信實(shí)體。其作用包括：發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布CRL確保必要時可以廢除證書。

3、注冊機(jī)構(gòu)RA（Registration Authority），RA是CA的延伸，可作為CA的一部分，也可以獨(dú)立。RA功能包括個人身份審核、CRL管理、密鑰對產(chǎn)生和密鑰對備份等。PKI國際標(biāo)準(zhǔn)推薦由一個獨(dú)立的RA來完成注冊管理的任務(wù)，這樣可以增強(qiáng)應(yīng)用系統(tǒng)的安全性。

4、證書/CRL存儲庫，負(fù)責(zé)證書和CRL的存儲、管理、查詢等。

概念和術(shù)語

公鑰加密算法：

公鑰加密算法，又叫非對稱加密算法或雙鑰加密算法，是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。

公鑰加密算法使用了一對密鑰：一個用于加密信息，另一個則用于解密信息，其中加密密鑰公之于眾，稱為公鑰；解密密鑰由解密人私密保存，稱為私鑰。用其中任一個密鑰加密的信息只能用另一個密鑰進(jìn)行解密。

RSA密鑰對：

數(shù)字證書機(jī)制依賴于公共密鑰體制，PKI系統(tǒng)中應(yīng)用最廣泛的公共密鑰體制為RSA加密系統(tǒng)。

RSA加密系統(tǒng)使用一個非對稱的RSA密鑰對，包括一個RSA公鑰和一個RSA私鑰。當(dāng)實(shí)體申請數(shù)字證書時，證書請求中必須包含RSA公鑰信息。

RSA密鑰對的模數(shù)，即RSA密鑰的長度（單位bit）。模數(shù)越大，密鑰越安全，同時設(shè)備生成密鑰、加密、解密花費(fèi)的時間也越長。

數(shù)字指紋：

數(shù)字指紋是指通過某種算法對數(shù)據(jù)信息進(jìn)行綜合計(jì)算得到的一個固定長度的數(shù)字序列，這個序列有時也稱信息摘要，常采用單向哈希算法對原始數(shù)據(jù)進(jìn)行散列計(jì)算得出數(shù)字指紋。

數(shù)字簽名：

數(shù)字簽名是指信息發(fā)送方用自己的私鑰對原始數(shù)據(jù)的數(shù)字指紋進(jìn)行加密后所得的數(shù)據(jù)。

信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進(jìn)行解密后，獲得數(shù)字指紋，然后與自己用同樣算法對原始數(shù)據(jù)計(jì)算生成的數(shù)據(jù)指紋進(jìn)行匹配，根據(jù)匹配結(jié)果，便可確定原始信息是否被篡改。

數(shù)字證書：

數(shù)字證書是一個經(jīng)認(rèn)證機(jī)構(gòu)CA（Certificate Authority）簽名的，包含實(shí)體公開密鑰及相關(guān)身份信息的文件，它建立了實(shí)體身份信息與其公鑰的關(guān)聯(lián)，是使用PKI系統(tǒng)的用戶建立安全通信的信任基礎(chǔ)。CA對數(shù)字證書的簽名保證了證書的合法性和權(quán)威性。

數(shù)字證書中包含多個字段，包括證書簽發(fā)者的名稱、主體的公鑰信息、CA對證書的數(shù)字簽名、證書的有效期等。

認(rèn)證機(jī)構(gòu)CA（Certificate Authority）

CA是PKI的信任基礎(chǔ)，是一個用于簽發(fā)并管理數(shù)字證書的可信實(shí)體。

其作用（功能）包括：發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布CRL確保必要時可以廢除證書。

認(rèn)證機(jī)構(gòu)CA的層次

認(rèn)證機(jī)構(gòu)是PKI體系的核心，通常采用多層次的分級結(jié)構(gòu)，根據(jù)證書頒發(fā)機(jī)構(gòu)的層次，可以劃分為根CA和從屬CA。

上級認(rèn)證機(jī)構(gòu)負(fù)責(zé)簽發(fā)和管理下級認(rèn)證機(jī)構(gòu)的證書，最下一級的認(rèn)證機(jī)構(gòu)直接面向用戶。

每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過證書鏈追溯到一個根認(rèn)證機(jī)構(gòu)，根CA通常持有一個自簽名證書。

在建立CA時，從屬CA要通過上級CA獲得自己的CA證書，而根CA則是創(chuàng)建自簽名的證書。

1、根CA是公鑰體系中第一個證書頒發(fā)機(jī)構(gòu)，它是信任的起源。根CA可以為其它CA頒發(fā)證書，也可以為其它計(jì)算機(jī)、用戶、服務(wù)頒發(fā)證書。對大多數(shù)基于證書的應(yīng)用程序來說，使用證書的認(rèn)證都可以通過證書鏈追溯到根。

2、從屬CA必須從根CA或者從一個已由根CA授權(quán)可頒發(fā)從屬CA證書的從屬CA處獲取證書。

認(rèn)證機(jī)構(gòu)CA的類型

認(rèn)證機(jī)構(gòu)CA的類型，包括三種：

1、自簽名CA：在自簽名CA中，證書中的公鑰和用于驗(yàn)證證書簽名的公鑰是相同的。

2、從屬CA：在從屬CA中，證書中的公鑰和用于驗(yàn)證證書簽名的公鑰是不同的。

3、根CA：根CA是一種特殊的CA，它受到客戶無條件地信任，位于證書層次結(jié)構(gòu)的最高層。所有證書鏈均終止于根CA。根CA必須對它自己的證書簽名，因?yàn)樵谧C書層次結(jié)構(gòu)中再也沒有更高的認(rèn)證機(jī)構(gòu)。

認(rèn)證機(jī)構(gòu)CA的功能

CA的核心功能就是發(fā)放和管理數(shù)字證書，包括：證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、CRL的發(fā)布等。

CA的核心功能，具體描述如下：

1、證書申請?zhí)幚恚航邮铡Ⅱ?yàn)證用戶數(shù)字證書的申請。

2、證書審批處理：確定是否接受用戶數(shù)字證書的申請。

3、證書頒發(fā)處理：向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書。

4、證書更新處理：接收、處理用戶的數(shù)字證書更新請求。

5、證書查詢和撤銷處理：接收用戶數(shù)字證書的查詢、撤銷。

6、發(fā)布CRL：產(chǎn)生和發(fā)布證書廢除列表（CRL）。

7、證書的歸檔：數(shù)字證書的歸檔。

8、密鑰的備份和恢復(fù)。

9、歷史數(shù)據(jù)歸檔。

注冊機(jī)構(gòu)RA（Registration Authority）

注冊機(jī)構(gòu)RA的功能：

RA是數(shù)字證書注冊審批機(jī)構(gòu)，RA是CA面對用戶的窗口，是CA的證書發(fā)放、管理功能的延伸，它負(fù)責(zé)接受用戶的證書注冊和撤銷申請，對用戶的身份信息進(jìn)行審查，并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請。

RA作為CA功能的一部分，實(shí)際應(yīng)用中，通常RA并不一定獨(dú)立存在，而是和CA合并在一起。RA也可以獨(dú)立出來，分擔(dān)CA的一部分功能，減輕CA的壓力，增強(qiáng)CA系統(tǒng)的安全性。

證書吊銷列表CRL

由于實(shí)體名稱的改變、私鑰泄漏或業(yè)務(wù)中止等原因，需要存在一種方法將現(xiàn)行的證書撤消，即撤消公開密鑰及相關(guān)的實(shí)體身份信息的綁定關(guān)系。在PKI中，所使用的這種方法為證書吊銷列表CRL（Certificate Revocation List）。

任何一個證書被廢除以后，CA就要發(fā)布CRL來聲明該證書是無效的，并列出所有被廢除（吊銷）的證書的序列號。CRL提供了一種檢驗(yàn)證書有效性的方式。

當(dāng)一個CRL的撤消信息過多時會導(dǎo)致CRL的發(fā)布規(guī)模變得非常龐大，且隨著CRL大小的增加，網(wǎng)絡(luò)資源的使用性能也會隨之下降。為了避免這種情況，允許一個CA的撤消信息通過多個CRL發(fā)布出來，并且使用CRL發(fā)布點(diǎn)CDP（CRL Distribution Point）來指出這些CRL的位置。

CRL發(fā)布點(diǎn)：

CRL發(fā)布點(diǎn)CDP，是數(shù)字證書中的信息，它描述了如何獲取證書的CRL列表。

最常用的CDP是HTTP URL和LDAP URL，也可以是其他類型的URL或LDAP目錄說明。一個CDP包含一個URL或目錄說明。

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），工作過程：

針對一個使用PKI的網(wǎng)絡(luò)，配置PKI的目的就是為指定的實(shí)體向CA申請一個本地證書，并由設(shè)備對證書的有效性進(jìn)行驗(yàn)證。

1、實(shí)體向注冊機(jī)構(gòu)RA提出證書申請。

2、RA審核實(shí)體身份，將實(shí)體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。

3、CA驗(yàn)證數(shù)字簽名，同意實(shí)體的申請，頒發(fā)證書。

4、RA接收CA返回的證書，通知實(shí)體證書發(fā)行成功。

5、實(shí)體獲取證書，利用該證書可以與其它實(shí)體使用加密、數(shù)字簽名進(jìn)行安全通信。

6、實(shí)體希望撤消自己的證書時，向CA提交申請，CA批準(zhǔn)實(shí)體撤消證書，并更新CRL。

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），工作原理：

PKI的目標(biāo)就是要充分利用公鑰密碼學(xué)的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。

對于公鑰加密算法，由于公鑰是公開的，需要在網(wǎng)上傳送，故公鑰的管理問題就是公鑰加密體制所需要解決的關(guān)鍵問題。

目前，PKI系統(tǒng)中引出的數(shù)字證書機(jī)制就是一個很好的解決方案。

PKI的核心技術(shù)就圍繞著數(shù)字證書的申請、頒發(fā)、使用與撤銷等整個生命周期進(jìn)行展開。

證書的注冊

證書注冊，即證書申請，就是一個實(shí)體向CA自我介紹并獲取數(shù)字證書的過程。實(shí)體向CA提供身份信息，以及相應(yīng)的公鑰，這些信息將成為頒發(fā)給該實(shí)體證書的主要組成部分。

實(shí)體向CA提出證書申請，有離線和在線兩種方式：

1、離線申請方式下，CA允許申請者通過帶外方式（如電話、磁盤、電子郵件等）向CA提供申請信息。

2、在線證書申請有手工發(fā)起和自動發(fā)起兩種方式。

證書的注冊方式（常用的方式）：

1、PKCS#10方式（離線注冊方式），當(dāng)無法通過SCEP協(xié)議向CA在線申請證書時，可以使用PKCS#10格式打印出本地的證書申請信息。用戶以PKCS#10格式保存證書申請信息到文件中，并通過帶外方式發(fā)送給CA進(jìn)行證書申請。

2、SCEP方式（在線注冊/下載方式），通過簡單證書注冊協(xié)議SCEP（Simple Certification Enrollment Protocol），利用HTTP協(xié)議與CA或RA通信，發(fā)送證書注冊請求或證書下載請求消息，下載CA/RA證書、本地證書，或者申請本地證書。SCEP方式是最常用的證書自動注冊方式。

3、自簽名證書，PKI設(shè)備為自己頒發(fā)一個自簽名證書，即證書簽發(fā)者和證書主題相同。

證書的更新

設(shè)備在證書即將過期前，先申請一個證書作為“影子證書”，在當(dāng)前證書過期后，影子證書成為當(dāng)前證書，完成證書更新功能。

申請“影子證書”的過程，實(shí)質(zhì)上是一個新的證書注冊的過程。

證書更新功能需要CA服務(wù)器的支持，即CA服務(wù)器必須支持證書更新功能。

證書的下載

證書下載是指終端實(shí)體通過SCEP協(xié)議，向CA服務(wù)器查詢并下載已頒發(fā)的證書，或者通過CDP指定機(jī)制和地址，下載已頒發(fā)的證書。該證書可以是自己的證書，也可以是CA證書，或其他終端實(shí)體的證書。

證書的撤銷

由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業(yè)務(wù)中止等原因，用戶需要將自己的數(shù)字證書撤消，即撤消公鑰與用戶身份信息的綁定關(guān)系。

在PKI中，CA撤銷證書使用的方法為證書吊銷列表CRL，終端實(shí)體撤銷自己的證書是通過帶外方式申請的。

為了撤銷自己的證書，終端實(shí)體必須采用帶外方式通知CA服務(wù)器管理員。

管理員要求終端實(shí)體提供自己的Challenge Password（Challenge Password在證書注冊時已作為PKCS10證書請求的屬性發(fā)給了CA）。

如果終端實(shí)體提供的Challenge Password與CA服務(wù)器保存的一致，CA發(fā)布CRL來撤銷證書。

CRL的下載

CA/RA不會主動把CRL發(fā)布給終端實(shí)體，而是由終端實(shí)體主動發(fā)起CRL查詢。

有兩種下載CRL的方法：CDP方式、SCEP方式。

CA如果支持CDP，在為終端實(shí)體頒發(fā)證書時，把CRL發(fā)布點(diǎn)的URL地址編碼成CDP屬性封裝在證書中，終端實(shí)體根據(jù)CDP來下載CRL。

如果證書中未攜帶CDP信息，并且設(shè)備本地也沒有配置CDP的URL地址，則設(shè)備通過SCEP協(xié)議向CA服務(wù)器請求CRL。終端實(shí)體通過SCEP協(xié)議獲取證書時，以證書簽發(fā)者名字和證書序列號作為查詢關(guān)鍵字。

證書狀態(tài)檢查方式

當(dāng)終端實(shí)體驗(yàn)證對端證書時，經(jīng)常需要檢查對端證書是否有效。對端證書是否過期、是否被加入證書黑名單中，即檢查證書的狀態(tài)。

通常終端實(shí)體檢查證書狀態(tài)的方式有三種：CRL方式、OCSP方式、None方式。

CRL方式：

如果CA支持CDP，那么當(dāng)CA簽發(fā)證書時，在證書中會包含CDP信息，描述了獲取該證書CRL的途徑和方式。終端實(shí)體利用CDP中指定的機(jī)制和地址來定位和下載CRL。

如果PKI域下配置了CDP的URL地址，該地址將覆蓋證書中攜帶的CDP信息，終端實(shí)體使用配置的URL來獲取CRL。

在線證書狀態(tài)協(xié)議OCSP（Online Certificate Status Protocol）方式

如果CA不支持CDP，即證書中沒有指定CDP，并且PKI域下也沒有配置CRL的URL地址，終端實(shí)體可以使用OCSP協(xié)議檢查證書狀態(tài)。

None方式：

如果終端實(shí)體沒有可用的CRL和OCSP服務(wù)器，或者不需要檢查對端證書狀態(tài)，可以采用None方式，即不檢查證書是否被撤銷。

證書合法性驗(yàn)證

終端實(shí)體獲取對端證書后，當(dāng)需要對對端進(jìn)行證書認(rèn)證時，例如需要與對端建立安全隧道或安全連接，通常需要驗(yàn)證對端證書和證書簽發(fā)者的合法性。如果證書簽發(fā)者的證書無效或過期，則由該CA簽發(fā)的所有證書都不再有效。但在CA證書過期前，設(shè)備會自動更新CA/RA證書，異常情況下才會出現(xiàn)CA證書過期現(xiàn)象。

為完成證書驗(yàn)證，除了需要對端證書外，本地設(shè)備需要下面的信息：信任的CA證書、CRL、本端數(shù)字證書及其私鑰、證書認(rèn)證相關(guān)配置信息。

證書驗(yàn)證的主要過程如下：

使用CA證書的公鑰驗(yàn)證認(rèn)證機(jī)構(gòu)的簽名是否正確。

根據(jù)證書的有效期，驗(yàn)證證書是否過期。

檢查證書的狀態(tài)，即通過CRL、OCSP、None等方式檢查證書是否被撤銷。

證書鏈驗(yàn)證

為驗(yàn)證一個數(shù)字證書的合法性，首先需要獲得簽發(fā)這個證書的CA的公鑰（即獲得CA證書），以便檢查該證書上CA的簽名。一個CA可以讓另一個更高層次的CA來證明其數(shù)字證書的合法性，這樣順著證書鏈，驗(yàn)證數(shù)字證書就變成了一個迭代過程，最終這個鏈必須在某個“信任點(diǎn)”（一般是持有自簽名證書的根CA或者是實(shí)體信任的中間CA）處結(jié)束。

所謂的證書鏈，是指從終端實(shí)體證書到根證書的一系列可信任證書構(gòu)成的證書序列。任何終端實(shí)體，如果它們共享相同的根CA或子CA，并且已獲取CA證書，都可以驗(yàn)證對端證書。一般情況下，當(dāng)驗(yàn)證對端證書鏈時，驗(yàn)證過程在碰到第一個可信任的證書或CA機(jī)構(gòu)時結(jié)束。

證書鏈的驗(yàn)證過程是一個從目標(biāo)證書（待驗(yàn)證的實(shí)體證書）到信任點(diǎn)證書逐層驗(yàn)證的過程。

關(guān)鍵詞： 數(shù)字證書