求大佬细分OCSP协议、LDAP目录访问协议、CA证书库、LDAP目录服务器、LDAP目录数据库、CRL证书撤销列表文件之间的关系

最新推荐文章于 2024-05-31 21:46:15 发布
最新推荐文章于 2024-05-31 21:46:15 发布
阅读量2.8k 收藏 4
点赞数 1
文章标签: PKI/CA 数字证书认证方式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiritox/article/details/87856580
版权

最近在看PKI系统的相关知识,在看到使用证书这块的时候对标题上的这些概念之间的关系有点不清楚。

比如A要认证B的证书

1、选择通过OCSP在线证书查询协议进行在线查询证书有效性的时候,是直接连接CA服务器么?然后由CA服务器去访问CA证书库?

2、选择通过CRL证书撤销列表进行验证证书是否被撤销的逻辑是:向LDAP目录服务器发起下载/更新本地CRL证书撤销列表文件的请求,然后由LDAP目录服务器去查询CRL证书撤销列表信息所在的LDAP目录数据库,由目录数据库返回文件地址,再由LDAP目录服务器向客户端下载CRL证书撤销列表文件么?

以上是对现有PKI系统中证书验证有效性的疑问,下面是对这个系统设计的一些问题:

1、为何要用LDAP轻型目录查询协议来构建目录服务器,为何不直接用关系型数据库将被撤销的证书信息存在数据库中,直接由用户查询?(这个做法跟OCSP在线查询很像,但是只要出现在数据库中的证书就是无效的,不需要提供证书状态信息),当然CRL的话可以提供一定的离线认证能力,但是我看了CFCA的标准,CRL的更新一般设置为1天一次,根据客户需求可以降低。但是终究是妥协的逻辑,离线会有一段更新空白期,而且不短

2、根据问题1的描述,现在的系统用的是LDAP存储CRL文件相关信息(使用LDAP协议逻辑),是为了能更新客户端本地CRL列表的话,那在使用CRL方式查询和使用OCSP方式查询的逻辑有什么优缺点?如果互相认证的双方在无法连接外网的情况下,通过CRL和数字证书认证彼此身份,这个安全程度够离线认证的要求么?如果够,那为何还需要OCSP方式,如果不够,那要CRl又有何用?

3、有大佬能提供一下LDAP数据库的结构么?到底存的是证书信息还是证书撤销列表文件的信息?

kiritox
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PKI术语:CRL、增量 CRL、CTL、OCSPLDAP、AIA、CDP、名称约束、证书模板
smmi的专栏
10-19 3079
1. 证书吊销列表 (CRL):由 CA 颁发的数字签名列表,其中包括由 CA 颁发而且已经被吊销的证书。该列表包括被吊销证书序列号、证书被吊销的日期和吊销原因。应用程序能够执行 CRL 检查以便确定所示证书的吊销状态,也称为基本 CRL(相对于增量CRL)。 2. 增量 CRL:包括自从发布上一个基本 CRL 以来被吊销的证书列表CRL。增量 CRL 经常被用于吊销大量证书,以便优化带...
ocspldap 区别_时代亿信旗下产品_统一认证访问控制系列_产品
weixin_34707242的博客
12-23 821
产品概述时代亿信CA数字证书认证系统是在充分研究国内CA应用现状与多年信息安全研发实践,结合PKI实际应用需的基础上,独立研发的一套用于数字证书的申请、审核、签发、注销、更新、查询的综合系统,颁发的数字证书格式严格遵循X.509 V3规范。功能特点支持多种密码算法CA数字证书认证系统支持如下密码算法:公钥密码算法:RSA、SM2。其中RSA密钥长度1024/2048/4096比特可选,SM2支持...
什么是OCSP装订?如何在Nginx中启用?
最新发布
长风破浪会有时的博客
05-31 331
OCSP装订就是一种高效的方法,它可以让客户端在与服务器建立连接时,同时获取到证书证书的状态信息,从而减少了额外的网络延迟。OCSP是“在线证书状态协议”的缩写,它的作用是检查数字证书是否有效,就像我们查看食品是否过期一样。所以,OCSP装订就是把数字证书的状态信息附加到服务器的响应中,这样当客户端(比如我们的电脑)与服务器通信时,就可以更快地知道证书是否有效,而不需要再去单独查询。总的来说,OCSP装订是一种提高网络安全性的技术,它可以让客户端更高效地获取数字证书的状态信息。
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 2900
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
ocspldap 区别_《脑梗塞ocsp分型和治疗》.ppt
weixin_42391485的博客
12-23 769
高要区人民医院People's Hospital of Gaoyao District急性脑梗死临床分型、分期治疗(个体化治疗)原则People's Hospital of Gaoyao District目录高要区人民医院脑梗死的基本知识脑梗死的分型急重型脑梗死的分期治疗People's Hospital of Gaoyao District缺血阈高要区人民医院正常情况下脑血流量为50ml/l00...
LDAPCACRL的发布属性
xyyaiguozhe的专栏
12-30 2520
文章摘自 https://access.redhat.com/site/documentation/en-US/Red_Hat_Certificate_System/8.1/html/Admin_Guide/Configuring_Publishers_for_LDAP_Publishing.html 主要介绍了在LDAPCACRL文件的所需配置对象和属性。 7.4. Configuri
LDAP服务器ca系统,基于LDAP的统一身份认证系统与CA认证的集成.pdf
weixin_39777497的博客
08-13 838
基于LDAP的统一身份认证系统与CA认证的集成,第 33 卷 第 8 期 宜春学院学报 Vol. 33 No. 82011 年 8 月 Journal of Yichun Col...
证书的有效性管理和验证—CRLOCSP的异曲同工之妙
云守护的专栏
04-29 2469
转自https://www.cfca.com.cn/20150811/101230759.html https://www.secpulse.com/archives/113075.html   怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验
ocspldap 区别_基于LDAP目录服务的OCSP实现模型
weixin_29611239的博客
12-23 832
基于LDAP目录服务的OCSP实现模型徐蕾李明【摘要】摘要提出一种基于LDAP目录服务的OCSP(OnlineCertificateStatusProtocol)实现模型。新模型使用LDAP目录数据库存储OCSP响应器中的证书撤销数据,同时记录实体间证书验证关系;响应器为服务的实体提前收集验证证书撤销信息,提前准备签名,部分减少了OCSP响应器对撤销数据库的搜索范围和签名时间。实验结果表明,这一...
LDAP协议:轻量目录访问协议详解及应用场景
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
06-05 2079
LDAP协议:轻量目录访问协议详解及应用场景
LDAP协议
qq_45800977的博客
08-09 788
目录服务是一个特殊的数据库,按照树状存储信息,目录告诉用户某些内容在网络中的位置。目录服务的数据类型主要是字符型。主要面向数据的查询服务,有很强的查询功能。目录具有广泛复制信息的能力,适合于多个目录服务器同步/更新。树形只是推荐的底层数据存储方式,因为读多写少,所以其实也可以使用传统关系数据库作为LDAP数据源。LDAP只是一个协议,约定的是C/S之间的通信方式,理论上服务器只要能处理LDAP协议规定操作返回正确结果即可。将用户数据放在LDAP服务器上,通过LDAP服务器上的数据对用户做认证处理。
CA策略发布目录SPC
yhl4k的博客
03-31 4806
CA策略发布目录(CPS) 什么是PKI 公钥基础设施(PKI)是基于公钥理论和技术建立的网络信息安全技术体系,是一种遵循标准的、为用户提供公钥证书管理、密钥管理、网络信息安全应用或安全管理的基础设施。它为网络内实体的认证证书管理、数字签名、数据加密和网络信息的机密性、真实性、完整性、不可否认性与存取控制等安全需提供了具有普适性的基础技术。它属于国家信息安全标准之一。PKI架构包括网络基础设施、安全支撑平台、应用支撑平台、安全业务应用和系统安全管理等。由于该系统是用公钥密码体制和技术来提供和实施安全
PKI体系
是个吃不饱的人
04-06 269
CA,RA,KM
LDAP及其在pki系统中的应用
萧海的博客
06-10 802
P K I的主要部件包括签发数字证书认证机构C A( C e r t i f i c a t i o n Authority),登记和批准证书签发的注册机构RA(Registration Authority),密钥管理中心KM(KeyManager)和传播终端实体证书撤销消息以及策略相关信息的 资料系统等。一个完整的PKI必须存在某种鲁棒的、规模可扩充的资料系统,以便用户能找到安全通信需要的证书,一个大规模...
LDAP概念和原理介绍
MyySophia的博客
04-09 3054
LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器认证交互。相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。所以目录天生是用来查询的,就好象它的名字一样。
CRL问题与OCSP
大力海棠的博客
02-17 5132
证书的扩展项CRL分发点可以看到,CRL证书吊销列表,是服务器身份验证的一部分,验证证书除了校验签名值外,还要校验证书的吊销状态,如果一张证书已过期,或者被吊销,那么身份校验失败。要注意的是,证书过期并不代表其被吊销,证书过期了便无效,如果证书没有过期,但因为某种原因被吊销了,也一样无效。我们知道,浏览器校验证书吊销状态时,会通过CRL分发点找到CRLs文件的URL,然后去下载CRLs文件,从中...
Fabric CA 用户指南
热门推荐
baidu_39649815的博客
07-28 1万+
Fabric CA 用户指南 证书颁发机构 提供的功能如下: 身份的注册 :或连接到LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)作为用户注册表; 签发登记证书(ECerts)(Enrollment Certificates) 签发交易证书(TCerts)(Transaction Certificates) :在Hyperledger
linux下openldap 服务器数据导入(crl)
xyyaiguozhe的专栏
12-20 3612
openldap 客户端和服务器安装网上一大把,不再细说,说多了全是泪。 可参考:http://www.360doc.com/content/12/0217/23/4165_187488392.shtml /*增加或者修改配置文件/etc/openldap/slapd.conf*/ #===================================================# da
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值