[na]PKI公钥处理思路

前提申明:

在使用任何基于RSA服务之前,一个实体要真实可靠的获取其他实体的公钥.

1,一个可以确认公钥身份的方案:[离线确认]

主:B做同样的事情得到A的公钥. 但是这种方法扩展性差,不可行.

2,通过第三方介绍

操作步骤:

1,AB,BC之间分别离线确认完密彼此公钥

2,B将[C-pub&sign]发给A[B对C-pub的sign]

3,A有B的公钥,由于A已经信任了B. A用B的公钥解密出md5,A对C-pub进行md5.核实对比.

注:有了彼此的公钥就可以信任彼此了.

 

PKI操作:

1,仅有一个受信任的介绍者

2,CA签署每个人的公钥

3,每个人都有CA的公钥.

1, 每个实体都要获取CA的公钥（认证CA的过程）

2. 每个实体都要提交自己的公钥给CA（注册到PKI）

3. 这个初始步骤，必须手动认证或通过一个可信赖的传输网络来执行

 

交换证书其实就是交换公钥.

数字证书仅仅解决了"这个公钥持有者到底是谁"的问题.

 

获取CA公钥[离线确认]

生成密钥对,发公钥+个人信息给CA

CA用私钥签名产生[公钥+个人信息+sign]发给用户

两个服务器开始通信,如上图.