数字证书和证书颁发机构的基础知识

 

 

什么是数字证书 数字证书是电子凭证，用于断言网络上的个人，计算机和其他实体的在线身份。数字证书的功能类似于护照和驾驶执照等身份证。最常见的是，它们包含公钥和所有者的身份。它们由证书颁发机构（CA）颁发，证书颁发机构必须在颁发证书之前和使用证书时验证证书持有者的身份。常见用途包括需要身份验证，加密和数字签名的业务场景。 证书目的 证书目的定义了证书的预期主要用途。证书目的可以是以下四种设置之一： 加密。具有此目的的证书将包含用于加密和解密的加密密钥。 签名。具有此目的的证书将包含仅用于签名数据的加密密钥。 签名和加密。具有此目的的证书涵盖证书加密密钥的所有主要用途，包括数据加密，数据解密，初始登录或数字签名数据。 签名和智能卡登录。具有此目的的证书允许使用智能卡进行初始登录，并对数据进行数字签名; 它不能用于数据加密。 SSL可能是第一个使用数字证书的协议。现在有一天，它们被广泛用于需要签名和加密的地方。 证书颁发机构 证书颁发机构（CA）颁发包含公钥和所有者身份的数字证书。匹配的私钥不是公开的，而是由生成密钥对的最终用户保密。证书还是CA的确认或验证，证书中包含的公钥属于证书中标注的个人，组织，服务器或其他实体。CA在此类方案中的义务是验证申请人的凭证，以便用户和信赖方可以信任CA证书中的信息。CA使用各种标准和测试来执行此操作。从本质上讲，证书颁发机构负责说“是的，这个人就是他们所说的人，而我们，CA，验证”。 如果用户信任CA并且可以验证CA的签名，那么他还可以验证某个公钥确实属于证书中标识的任何人。浏览器维护着名的CA根证书列表。除了商业CA之外，一些提供商还免费向公众发放数字证书。大型机构或政府实体可能拥有自己的CA. CA层次结构 CA在结构上是分层的。通常有三种类型的层次结构，它们由层数表示。 单层/单层层次结构 单层层次结构由一个CA组成。单个CA既是根CA又是颁发CA. 根CA是PKI的信任锚的术语。信任根CA的任何应用程序，用户或计算机都信任CA层次结构颁发的任何证书。颁发CA是向最终实体颁发证书的CA. 出于安全原因，这两个角色通常是分开的。使用单层层次结构时，它们将合并在一起。    两层层次结构 双层层次结构是最常见的。在某些方面，它是一层和三层等级之间的折衷。在此设计中，有一个脱机的根CA，以及一个在线的从属颁发CA. 由于根CA和颁发CA角色是分开的，因此安全级别会提高。但更重要的是，根CA处于脱机状态，因此可以更好地保护根CA的私钥免受攻击。它还提高了可扩展性和灵活性。这是因为可以存在多个从根CA到CA的颁发CA. 这可以让你有CA在不同的地理位置，以及与不同的安全级别。    三层层次结构 具体而言，两层层次结构之间的区别在于第二层位于根CA和颁发CA之间。此CA的放置可能有几个不同的原因。第一个原因是将第二层CA用作策略CA. 换句话说，策略CA配置为向颁发CA颁发证书，该证书受其颁发的证书类型的限制。策略CA也可以仅用作管理边界。换句话说，您只从策略CA的下属颁发某些证书，并在颁发证书之前执行某种级别的验证，但该策略仅从管理而非技术角度强制执行。 添加第二层的另一个原因是，如果由于密钥泄露而需要撤销多个CA，则可以在第二层级别执行它，从而使其他“从根分支”可用。应该注意的是，此层次结构中的第二层CA可以像Root一样保持脱机状态。