欢迎光临
我一直在奋斗

数字证书学习系列:初探数字证书 初探数字证书

数字证书学习系列

知识基础

1. 什么是公钥基础设施


2.公钥基础设施

PKI是Public Key Infrastructure的首字母缩写,翻译过来就是公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

一个典型的PKI系统如图1所示,其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。
  1. PKI 安全策略建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息,根据风险 的级别定义安全控制的级别。一般情况下,在PKI中有两种类型的策略:一是证书策略,用于管理证书的使用,比如,可以确认某一CA是在Internet上 的公有CA,还是某一企业内部的私有CA;另外一个就是CPS(Certificate Practice Statement)。一些由商业证书发放机 构(CCA)或者可信的第三方操作的PKI系统需要CPS。这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。它包括CA是如何建立 和运作的,证书是如何发行、接收和废除的,密钥是如何产生、注册的,以及密钥是如何存储的,用户是如何得到它的等等。

  2. 证书机构CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。后面将会在CA进行详细介绍。

  3. 注 册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户,是 指将要向认证中心(即CA)申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它 接受用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。因此,RA可以 设置在直接面对客户的业务部门,如银行的营业部、机构认识部门等。当然,对于一个规模较小的PKI应用系统来说,可把注册管理的职能由认证中心CA来完 成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理 的任务,可以增强应用系统的安全。

  4. 证书发布系统负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现存的,也可以是PKI方案中提供的。

PKI的应用非常广泛,包括在web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。

3.数字证书

说起数字证书就不得不提X.509标准。X.509是密码学里公钥证书的格式标准。 X.509 证书己应用在包括TLS/SSL在内的众多 Intenet协议里.同时它也用在很多非在线应用场景里,比如电子签名服务。

X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。对于一份经由可信的证书签发机构签名或者可以通过其它方式验证的证书,证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名.

另外除了证书本身功能,X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。

X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。

3.1 X509证书类型

X.509证书有多种常用的文件扩展名,代表着不同形式的数据编码以及内容
其中常见的有(来自 !Wikipedia ):
– pem

隐私增强型电子邮件 ,DER编码的证书再进行Base64编码的数据存放在”—–BEGIN CERTIFICATE—–“和”—–END CERTIFICATE—–“之中。

  • .cer, .crt, .der – 通常是DER二进制格式的,但Base64编码后也很常见。

  • .p7b, .p7c – PKCS#7 SignedData structure without data, just certificate(s) or CRL(s)

  • .p12 – PKCS#12格式,包含证书的同时可能还有带密码保护的私钥

  • .pfx – PFX,PKCS#12之前的格式(通常用PKCS#12格式,比如那些由IIS产生的PFX文件)

3.2 X509证书的结构

X509整体结构如下:

3.3 X509证书的基本部分

  • 版本号
    标识证书的版本(V1,V2,V3)
  • 序列号
    标识证书的唯一整数,由证书颁发者分配的本证书的唯一标识符
  • 签名算法
    用于签名证书的标识,说明该证书是通过什么数字签名算法
  • 颁发者
    证书颁发者的可识别名(DN)
  • 证书有效期
    证书有效期的时间段。本字段由”Not Before”和”Not After”两项组成,意义为:此日期前无效 – 此日期后无效。它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。
  • 主体
    证书拥有者的可识别名,这个字段必须是非空的,除非你在证书扩展中有别名。
  • 主体公钥信息
  1. 公钥算法
  2. 主体公钥

– 颁发者唯一标识符(可选项)
标识符—证书颁发者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
– 主体唯一身份信息(可选项)
证书拥有者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。

3.4 X509证书拓展部分

  • 发行者密钥标识符
  • 密钥使用
  • CRL分布点
  • 私钥的使用期
  • 证书策略
  • 策略映射
  • 主体别名
  • 颁发者别名
  • 主体目录属性

未经允许不得转载:奋斗者的足迹 » 数字证书学习系列:初探数字证书
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

奋斗者的足迹

联系我们加入我们