LDAP及其在pki系统中的应用

P K I的主要部件包括签发数字证书的认证机构C A( C e r t i f i c a t i o n Authority),登记和批准证书签发的注册机构RA(Registration Authority),密钥管理中心KM(KeyManager)和传播终端实体证书、撤销消息以及策略相关信息的 资料库系统等。一个完整的PKI必须存在某种鲁棒的、规模可扩充的资料库系统，以便用户能找到安全通信需要的证书，一个大规模的PKI系统如果没有资料库是无法使用的。本文主要介绍LDAP目录服务用于构建PKI系统资料库的应用。

LDAP，即轻量级目录访问协议（Lightweight Directory Access Protocol）。首先LDAP是一个协议簇，是简化了笨重的X.500目录访问协议得来的。LDAP是一个数据库，但是又不是一个数据库。说他是数据库，因为他是一个数据存储的东西。但是说他不是数据库，是因为他的作用没有数据库这么强大，而是一个目录。我们熟悉的windows的文件系统就是一个目录，如c盘下存放各种文件夹和文件，每个文件夹下一层又一层的文件夹和文件，整个目录就是一个树状结构。

还有我们熟悉的电话簿（黄页）。我们用电话簿的目的是为了查找某个公司的电话，在这个电话簿中附带了一些这个公司的基本信息，比如地址，经营范围，联系方式等。其实这个例子就是一个LDAP在现实生活中的表现。电话簿的组织结构是一条一条的信息组成，信息按照行业，类别进行了分类。每条记录都分成了若干的区域，其中涵盖了我们要的信息。这就是一个目录。一个树状的结构，每个叶子都是由一条一条的分成若干区域的记录。LDAP就是这么一个东西。从概念上说，LDAP树的每个结点就是一个条目，每个条目作为一个记录，每个条目有自己得到唯一区别名称（DN），描述条目某个方面的信息，由一个或多个属性组成。

当前应用最多的一个LDAP server是微软的AD（Active Directory），可用于统一安全策略、统一身份验证。LDAP作为一个统一认证的解决方案，查询是LDAP的优势，适用于读操作远大于写操作的应用场景。LDAP是一个轻量级的产品，主要目的是为了查，因此在架构和优化主要是针对读。由于LDAP 所具有的查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制，使LDAP 广泛地应用于基础性、关键性信息的管理，如用户信息、网络资源信息等。其中作为PKI系统的资料库就是其中的一个应用。

PKI技术采用证书管理公钥，通过可信的第三方机构CA，把用户的公钥和用户的其他信息（如名称、电子邮件、身份证等）捆绑在一起，在Internet网上验证用户身份。一个完整而有效的PKI系统，除了证书的创建、发布和撤销，还必须提供存储和发布这些证书的证书库，作为相应的证书管理服务，没有一个好的证书管理系统，将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。 证书管理服务包括创建证书请求、生成证书、证书撤销和私钥的安全存储等。 PKI系统必须把公钥和证书撤销列表CRL作为用户或应用程序的属性保存在证书库中，并让用户可以访问这个库。

在CA中使用LDAP，使用LDAP来存放证书，主要有以下几点原因:

• 用户的广泛性和多样性决定了获取证书应该在任何平台上进行;
• 由于数据主要是面向查询的，因此每一张证书在发布后一般不需要修改;
• 没有复杂的数据结构，用户名与条目一一对应，每一个条目存储该用户的所有证书;
• 公开密钥体制决定了证书数据属于公开信息。

LDAP在CA中扮演着两个角色:

• 对于CA来讲，LDAP服务器是证书和证书撤销列表CRL的存储体；
• 对于应用来讲，LDAP是应用获取他人或自己（包括CA）的证书以及CA签发的CRL这些信息的来源；

一般有如下的结构和流程

(1) CA服务器利用LDAP的API向LDAP服务器发布、更新或删除数字证书和CRL：

(2) LDAP服务器返回操作成功或失败的信息；

(3)用户根据一定的信息查询所需的证书或CRL；

(4) LDAP服务器为用户返回所需的信息或失败信息。

利用LDAP能够很轻易的构建一个用户的架构，用于存储用户证书、CA证书、吊销列表，以下就是一个基本的结构展示。

以下图为例c=cn即国家为中国，cn=张三表示个人名称为张三，o=百度表示百度公司为一个组织，ou=研发部表示组织单位研发部，cn=工程师1表示该组织单位下的个人。这些信息在数字证书subject字段中进行体现，以百度的证书为例

参照上面的例子，该证书在LDAP可构造如下结构

其中L=beijing、S=Beijing可作为cn=baidu条目的附加信息进行查看，而不用作为树的结构。用户证书、CA证书及吊销列表CRL同样也是作为条目的属性进行存储展示。

当前市面上已经有不少CA机构已经提供基于LDAP目录服务的证书查询服务，如广东CA、深圳CA、天威诚信等，我们可以在其官网上找到相关的入口。以天威诚信的目录服务为例，使用LDAP Admin客户端工具访问其LDAP服务，可以看到如下的结构

其中以ou=Certificate Authority结点下存放CA证书，以o=组织名称 存放该组织的用户证书，右边显示该结点下的属性信息，如个人信息邮箱、证书等。这些信息作为公开的信息，可进行查看下载。

基于LDAP目录服务的PKI资料库核心思想就是利用 LDAP技术存储并访问资料库数据，它在可靠性、访问速度、开放性、跨平台等方面极大提高了 PKI系统的易用性，这对PKI系统全面走向开放性提供了有力的技术支持。随着Intemet发展和企业全球化进程，LDAP目录服务逐渐成为一项关键网络技术，该技术在PKI体系中的应用还有待进一步研究和探索。