PKI是公钥基础设施,是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在Internet网上验证用户的身份。

 证书机构CA:用于发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。

 注册机构RA:提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。


数字证书申请过程:

①   用户提出申请

②   RA收集用户信息和确认用户身份,然后向CA提出证书申请

③   CA生成并发放证书


常见的证书格式:X.509标准

 在该标准中,证书的基本组成:用户的公钥、证书有效期限、证书的合法拥有者、证书该如何被使用、CA的信息、CA签名的校验码


CRL:证书废除列表,用于校验证书的有效性,当一个证书过期或废除后,会将其存放在CRL中,用户检验证书签名有效性时,先查看该证书在CRL中是否存在,若存在,则不使用该证书,X.509为CRL格式提供了一个标准


更深入的讲解可观看博客:http://blog.csdn.net/liuhuiyi/article/details/7776825