Linux之OpenSSL详解之PKI

  • A+
所属分类:Linux  Linux中级
摘要

如果要使用证书就要去第三方机构申请颁发证书[RA(Registration Authority 注册审批机构)申请证书],然后由CA (CA:Certification Authority 认证中心)签名做认证

一、x.509的详细说明

目前证书是有很多种格式和我们的身份证一样有一代、二代什么的,很显然每一代的身份证格式显示信息等都不是一样的,证书也是这样。

ITU-T这个组织定义的证书规范称之为x.509(也是x.500系列协议中的一种),x.509主要是定义了关于证书结构和认证协议的标准,x.509是我们现在通行的常用证书标准,事实上x.509也有3个版本。x.509首次发布于1988年7月3日,在1996年发布了第三版。

在众多了互联网通信模型中都有用到x.509,比如在互联网的电子商务、安全的电子邮件发送(S/MIME)、IP安全、基于传输层的安全(TLS、SSL)。

下面的图来说明x.509正式的格式
Linux之OpenSSL详解之PKI

 

二、PKI:公钥基础设施是提供公钥加密和数字签名服务的系统 Public Key Infrastructure

PKI的四大组件:

  • 签证机构:CA Certification Authority
  • 注册机构:RA Registration Authority
  • 证书吊销列表:CRL Certificate Revocation List
  • 证书存取库:

概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:

  1. 接收验证最终用户数字证书的申请。
  2. 确定是否接受最终用户数字证书的申请-证书的审批。
  3. 向申请者颁发、拒绝颁发数字证书-证书的发放。
  4. 接收、处理最终用户的数字证书更新请求-证书的更新。
  5. 接收最终用户数字证书的查询、撤销。
  6. 产生和发布证书废止列表(CRL)。
  7. 数字证书的归档。
  8. 密钥归档。
  9. 历史数据归档。

认证中心为了实现其功能,主要由以下三部分组成:

  • 注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼
  • 证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
  • 认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
lookback

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: