LDAP
证书和CRL的发布,CA通过LDAP服务保护用户证书与黑名单,它对用户给出目录服务浏览服务,把新签发或废除的证书加至LDAP服务器上,如此用户民访问LDAP服务器就可取得他人的数字证书或访问黑名单
CRL
CRL是一个具有时间戳的列表,在其中列出了所有已经吊销或挂起的数字证书信息。在CRL中包含本次更新日期和下次更新日期两个字段,用户可由这两个日期信息确定当前拥有的CRL是否是最新的,以及管理CRL缓冲区(即在CRL下次更新之前,用户可以一直使用原来的CRL缓冲区)。由于CRL中含有CA的数字签名,因此CRL可以存储于网络上的任何节点。
PKI
公钥基础设施(Public Key Infrastructure,PKI)
OCSP
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。另一种更老的方法是证书注销列表(CRL)已经被在线证书状态协议取代了很多年了。
在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。
CA
为解决数字证书的签发问题,PKI引入CA.用于对数字证书进行集中签发。CA是Certificate Authority昀缩写,字面含义是证书权威,也称作CA中心、认证中心。CA中心拥有自己的公钥和私钥,使用其私钥给用户(包含CA巾心自己)签发数字证书,具体签发过程如下:
(1)将用户身份信息和用户公钥信息,按照特定格式组成数据D。
(2)选择摘要算法对数据D进行计算得到摘要H。
(3)使用CA私钥对摘要H进行加密得到数字签名S。
(4)将用户身份信息、用户公钥信息和数字签名S,按照特定格式就可组成数字证书。
RA
在保证CA系统安全性的前提下,为方便证书业务远程办理、方便证书管理流程与应用系统结合,PKI引入了RA,专门用于对用户提供面对面的证书业务服务,负责用户证书办理/作废申请、用户身份审核、制作证书并移交用户等功能,而涉及证书签发时则提交CA系统集中处理。RA是Registry Authority的缩写,又称作RA中心、注册中心。有时候,证书管理流程会与应用业务流程结合,并不单独体现出来,如对于网上银行,证书管理流程就会融合到网银业务流程中。
不单独体现出来,如对于网上银行,证书管理流程就会融合到网银业务流程中。
RA可以部署多个,既可以单独部署,也可以与应用系统集成。