PKI公钥基础设施

• 公钥基础设施（Public Key Infrastructure，简称 PKI）是指⼀套由硬件、软件、⼈员、策略和程序组成的系统，⽤于创建、管理、分发、使⽤、存储和撤销数字证书。
• PKI 的核⼼⽬的是通过使⽤公钥加密技术来确保电⼦通信的安全性。
• PKI 为数据加密、数字签名、认证和其他基于公钥加密的安全服务提供了基础。

PKI 的基本组成部分

• CA证书颁发机构
  • PKI的核心组件，负责签发和管理数字证书。
  • 签发证书、更新证书、管理证书、撤销、查询、审计、统计
  • 验证数字证书
    • 黑名单认证 CRL（要定期更新）
    • 在线认证 OCSP（在线证书状态协议）
      • OCSP可以让客户端在线查询证书的状态，以判断证书是否被吊销或过期。相⽐于CRL，OCSP可以提供更及时、实时的证书状态查询，但同时也需要更多的⽹络资源
• RA证书注册机构
  • 负责验证实体身份的辅助组件
  • RA系统的功能包括：

    1. 填写⽤户注册信息：RA系统允许⽤户填写注册所需的信息，如⽤户名、联系⽅式、公钥等。
    2. 提交⽤户注册信息：⽤户在填写完注册信息后，将信息提交⾄RA系统进⾏审核。
    3. 审核：RA系统对⽤户提交的信息进⾏审核，以确保信息的真实性和完整性。
    4. 发送⽣成证书申请：当RA系统审核通过后，将向CA发送证书⽣成申请。
    5. 发送证书：CA签发证书后，RA系统将证书发送给⽤户。
    6. 证书撤销列表管理：RA系统可以管理CA发出的证书撤销列表。
    7. ⽇志审计：RA系统可以记录所有的注册、审核、证书⽣成、发送等操作，以备后续审计。
    8. ⾃身安全保证：RA系统必须保证其⾃身的安全性，防⽌信息泄露和恶意攻击。
• 证书存储库（是⼀个可以公开访问的⽬录或数据库）
  • 证书撤销列表CRL
  • 由CA签发的数字证书

数字证书

• 数字证书是由 CA 签发的⼀个电⼦⽂档，它包含实体的公钥以及其他身份信息，如持有者的姓 名、证书的有效期、证书序列号等。
• 常遵循 X.509 标准
  •       
• 证书链是指从终端实体证书到根证书之间的⼀系列证书。通过验证证书链中的每个证书，最终可以信任终端实体证书。​​​​​​​

PKI 的⼯作流程

1. 密钥对⽣成：

        ○ 实体⽣成⼀对密钥，公钥和私钥。公钥可以公开发布，⽽私钥必须保密。

2. 证书申请：

        ○ 实体将其公钥连同身份信息发送给 RA，申请数字证书。

3. 身份验证：

        ○ RA 验证申请者的身份，确认⽆误后，将公钥和身份信息传递给 CA。

4. 证书签发：

        ○ CA 使⽤其私钥对申请者的公钥和身份信息进⾏签名，⽣成数字证书，并将证书返回给申请者。

5. 证书分发：

        ○ 申请者可以将其数字证书公开给通信⽅。通信⽅可以通过访问证书存储库来获取证书。

6. 证书使⽤：

        ○ 证书持有者使⽤其私钥进⾏加密或签名操作，通信⽅使⽤持有者的公钥解密或验证签名。

7. 证书撤销：

        ○ 如果证书不再可信（例如私钥泄露），CA 可以将该证书加⼊ CRL，标记为已撤销。

 数字证书中的序列号 (Serial Number) ⽤于哪种⽤途？. 唯⼀标识证书，⽤于在 CRL 中引⽤该证书