隨著社會越來越發(fā)達，大家都選擇在網(wǎng)絡上汲取相關知識內容，比如ca認證是什么(ca數(shù)字證書初始密碼)，為了更好的解答大家的問題，小編也是翻閱整理了相應內容，下面就一起來看一下吧！

(相關資料圖)

公鑰基礎設施PKI（Public Key Infrastructure）

一種遵循既定標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。

簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施，PKI技術是信息安全技術的核心。

一個PKI體系由終端實體、認證機構、注冊機構和證書/CRL存儲庫四部分共同組成：

1、終端實體，是PKI產(chǎn)品或服務的最終使用者，可以是個人、組織、設備（如路由器、交換機）或計算機中運行的進程。

2、認證機構CA（Certificate Authority），是PKI的信任基礎，是一個用于簽發(fā)并管理數(shù)字證書的可信實體。其作用包括：發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布CRL確保必要時可以廢除證書。

3、注冊機構RA（Registration Authority），RA是CA的延伸，可作為CA的一部分，也可以獨立。RA功能包括個人身份審核、CRL管理、密鑰對產(chǎn)生和密鑰對備份等。PKI國際標準推薦由一個獨立的RA來完成注冊管理的任務，這樣可以增強應用系統(tǒng)的安全性。

4、證書/CRL存儲庫，負責證書和CRL的存儲、管理、查詢等。

概念和術語

公鑰加密算法：

公鑰加密算法，又叫非對稱加密算法或雙鑰加密算法，是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。

公鑰加密算法使用了一對密鑰：一個用于加密信息，另一個則用于解密信息，其中加密密鑰公之于眾，稱為公鑰；解密密鑰由解密人私密保存，稱為私鑰。用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。

RSA密鑰對：

數(shù)字證書機制依賴于公共密鑰體制，PKI系統(tǒng)中應用最廣泛的公共密鑰體制為RSA加密系統(tǒng)。

RSA加密系統(tǒng)使用一個非對稱的RSA密鑰對，包括一個RSA公鑰和一個RSA私鑰。當實體申請數(shù)字證書時，證書請求中必須包含RSA公鑰信息。

RSA密鑰對的模數(shù)，即RSA密鑰的長度（單位bit）。模數(shù)越大，密鑰越安全，同時設備生成密鑰、加密、解密花費的時間也越長。

數(shù)字指紋：

數(shù)字指紋是指通過某種算法對數(shù)據(jù)信息進行綜合計算得到的一個固定長度的數(shù)字序列，這個序列有時也稱信息摘要，常采用單向哈希算法對原始數(shù)據(jù)進行散列計算得出數(shù)字指紋。

數(shù)字簽名：

數(shù)字簽名是指信息發(fā)送方用自己的私鑰對原始數(shù)據(jù)的數(shù)字指紋進行加密后所得的數(shù)據(jù)。

信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進行解密后，獲得數(shù)字指紋，然后與自己用同樣算法對原始數(shù)據(jù)計算生成的數(shù)據(jù)指紋進行匹配，根據(jù)匹配結果，便可確定原始信息是否被篡改。

數(shù)字證書：

數(shù)字證書是一個經(jīng)認證機構CA（Certificate Authority）簽名的，包含實體公開密鑰及相關身份信息的文件，它建立了實體身份信息與其公鑰的關聯(lián)，是使用PKI系統(tǒng)的用戶建立安全通信的信任基礎。CA對數(shù)字證書的簽名保證了證書的合法性和權威性。

數(shù)字證書中包含多個字段，包括證書簽發(fā)者的名稱、主體的公鑰信息、CA對證書的數(shù)字簽名、證書的有效期等。

認證機構CA（Certificate Authority）

CA是PKI的信任基礎，是一個用于簽發(fā)并管理數(shù)字證書的可信實體。

其作用（功能）包括：發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布CRL確保必要時可以廢除證書。

認證機構CA的層次

認證機構是PKI體系的核心，通常采用多層次的分級結構，根據(jù)證書頒發(fā)機構的層次，可以劃分為根CA和從屬CA。

上級認證機構負責簽發(fā)和管理下級認證機構的證書，最下一級的認證機構直接面向用戶。

每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關聯(lián)，最終通過證書鏈追溯到一個根認證機構，根CA通常持有一個自簽名證書。

在建立CA時，從屬CA要通過上級CA獲得自己的CA證書，而根CA則是創(chuàng)建自簽名的證書。

1、根CA是公鑰體系中第一個證書頒發(fā)機構，它是信任的起源。根CA可以為其它CA頒發(fā)證書，也可以為其它計算機、用戶、服務頒發(fā)證書。對大多數(shù)基于證書的應用程序來說，使用證書的認證都可以通過證書鏈追溯到根。

2、從屬CA必須從根CA或者從一個已由根CA授權可頒發(fā)從屬CA證書的從屬CA處獲取證書。

認證機構CA的類型

認證機構CA的類型，包括三種：

1、自簽名CA：在自簽名CA中，證書中的公鑰和用于驗證證書簽名的公鑰是相同的。

2、從屬CA：在從屬CA中，證書中的公鑰和用于驗證證書簽名的公鑰是不同的。

3、根CA：根CA是一種特殊的CA，它受到客戶無條件地信任，位于證書層次結構的最高層。所有證書鏈均終止于根CA。根CA必須對它自己的證書簽名，因為在證書層次結構中再也沒有更高的認證機構。

認證機構CA的功能

CA的核心功能就是發(fā)放和管理數(shù)字證書，包括：證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、CRL的發(fā)布等。

CA的核心功能，具體描述如下：

1、證書申請?zhí)幚恚航邮铡Ⅱ炞C用戶數(shù)字證書的申請。

2、證書審批處理：確定是否接受用戶數(shù)字證書的申請。

3、證書頒發(fā)處理：向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書。

4、證書更新處理：接收、處理用戶的數(shù)字證書更新請求。

5、證書查詢和撤銷處理：接收用戶數(shù)字證書的查詢、撤銷。

6、發(fā)布CRL：產(chǎn)生和發(fā)布證書廢除列表（CRL）。

7、證書的歸檔：數(shù)字證書的歸檔。

8、密鑰的備份和恢復。

9、歷史數(shù)據(jù)歸檔。

注冊機構RA（Registration Authority）

注冊機構RA的功能：

RA是數(shù)字證書注冊審批機構，RA是CA面對用戶的窗口，是CA的證書發(fā)放、管理功能的延伸，它負責接受用戶的證書注冊和撤銷申請，對用戶的身份信息進行審查，并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請。

RA作為CA功能的一部分，實際應用中，通常RA并不一定獨立存在，而是和CA合并在一起。RA也可以獨立出來，分擔CA的一部分功能，減輕CA的壓力，增強CA系統(tǒng)的安全性。

證書吊銷列表CRL

由于實體名稱的改變、私鑰泄漏或業(yè)務中止等原因，需要存在一種方法將現(xiàn)行的證書撤消，即撤消公開密鑰及相關的實體身份信息的綁定關系。在PKI中，所使用的這種方法為證書吊銷列表CRL（Certificate Revocation List）。

任何一個證書被廢除以后，CA就要發(fā)布CRL來聲明該證書是無效的，并列出所有被廢除（吊銷）的證書的序列號。CRL提供了一種檢驗證書有效性的方式。

當一個CRL的撤消信息過多時會導致CRL的發(fā)布規(guī)模變得非常龐大，且隨著CRL大小的增加，網(wǎng)絡資源的使用性能也會隨之下降。為了避免這種情況，允許一個CA的撤消信息通過多個CRL發(fā)布出來，并且使用CRL發(fā)布點CDP（CRL Distribution Point）來指出這些CRL的位置。

CRL發(fā)布點：

CRL發(fā)布點CDP，是數(shù)字證書中的信息，它描述了如何獲取證書的CRL列表。

最常用的CDP是HTTP URL和LDAP URL，也可以是其他類型的URL或LDAP目錄說明。一個CDP包含一個URL或目錄說明。

公鑰基礎設施PKI（Public Key Infrastructure），工作過程：

針對一個使用PKI的網(wǎng)絡，配置PKI的目的就是為指定的實體向CA申請一個本地證書，并由設備對證書的有效性進行驗證。

1、實體向注冊機構RA提出證書申請。

2、RA審核實體身份，將實體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。

3、CA驗證數(shù)字簽名，同意實體的申請，頒發(fā)證書。

4、RA接收CA返回的證書，通知實體證書發(fā)行成功。

5、實體獲取證書，利用該證書可以與其它實體使用加密、數(shù)字簽名進行安全通信。

6、實體希望撤消自己的證書時，向CA提交申請，CA批準實體撤消證書，并更新CRL。

公鑰基礎設施PKI（Public Key Infrastructure），工作原理：

PKI的目標就是要充分利用公鑰密碼學的理論基礎，建立起一種普遍適用的基礎設施，為各種網(wǎng)絡應用提供全面的安全服務。

對于公鑰加密算法，由于公鑰是公開的，需要在網(wǎng)上傳送，故公鑰的管理問題就是公鑰加密體制所需要解決的關鍵問題。

目前，PKI系統(tǒng)中引出的數(shù)字證書機制就是一個很好的解決方案。

PKI的核心技術就圍繞著數(shù)字證書的申請、頒發(fā)、使用與撤銷等整個生命周期進行展開。

證書的注冊

證書注冊，即證書申請，就是一個實體向CA自我介紹并獲取數(shù)字證書的過程。實體向CA提供身份信息，以及相應的公鑰，這些信息將成為頒發(fā)給該實體證書的主要組成部分。

實體向CA提出證書申請，有離線和在線兩種方式：

1、離線申請方式下，CA允許申請者通過帶外方式（如電話、磁盤、電子郵件等）向CA提供申請信息。

2、在線證書申請有手工發(fā)起和自動發(fā)起兩種方式。

證書的注冊方式（常用的方式）：

1、PKCS#10方式（離線注冊方式），當無法通過SCEP協(xié)議向CA在線申請證書時，可以使用PKCS#10格式打印出本地的證書申請信息。用戶以PKCS#10格式保存證書申請信息到文件中，并通過帶外方式發(fā)送給CA進行證書申請。

2、SCEP方式（在線注冊/下載方式），通過簡單證書注冊協(xié)議SCEP（Simple Certification Enrollment Protocol），利用HTTP協(xié)議與CA或RA通信，發(fā)送證書注冊請求或證書下載請求消息，下載CA/RA證書、本地證書，或者申請本地證書。SCEP方式是最常用的證書自動注冊方式。

3、自簽名證書，PKI設備為自己頒發(fā)一個自簽名證書，即證書簽發(fā)者和證書主題相同。

證書的更新

設備在證書即將過期前，先申請一個證書作為“影子證書”，在當前證書過期后，影子證書成為當前證書，完成證書更新功能。

申請“影子證書”的過程，實質上是一個新的證書注冊的過程。

證書更新功能需要CA服務器的支持，即CA服務器必須支持證書更新功能。

證書的下載

證書下載是指終端實體通過SCEP協(xié)議，向CA服務器查詢并下載已頒發(fā)的證書，或者通過CDP指定機制和地址，下載已頒發(fā)的證書。該證書可以是自己的證書，也可以是CA證書，或其他終端實體的證書。

證書的撤銷

由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業(yè)務中止等原因，用戶需要將自己的數(shù)字證書撤消，即撤消公鑰與用戶身份信息的綁定關系。

在PKI中，CA撤銷證書使用的方法為證書吊銷列表CRL，終端實體撤銷自己的證書是通過帶外方式申請的。

為了撤銷自己的證書，終端實體必須采用帶外方式通知CA服務器管理員。

管理員要求終端實體提供自己的Challenge Password（Challenge Password在證書注冊時已作為PKCS10證書請求的屬性發(fā)給了CA）。

如果終端實體提供的Challenge Password與CA服務器保存的一致，CA發(fā)布CRL來撤銷證書。

CRL的下載

CA/RA不會主動把CRL發(fā)布給終端實體，而是由終端實體主動發(fā)起CRL查詢。

有兩種下載CRL的方法：CDP方式、SCEP方式。

CA如果支持CDP，在為終端實體頒發(fā)證書時，把CRL發(fā)布點的URL地址編碼成CDP屬性封裝在證書中，終端實體根據(jù)CDP來下載CRL。

如果證書中未攜帶CDP信息，并且設備本地也沒有配置CDP的URL地址，則設備通過SCEP協(xié)議向CA服務器請求CRL。終端實體通過SCEP協(xié)議獲取證書時，以證書簽發(fā)者名字和證書序列號作為查詢關鍵字。

證書狀態(tài)檢查方式

當終端實體驗證對端證書時，經(jīng)常需要檢查對端證書是否有效。對端證書是否過期、是否被加入證書黑名單中，即檢查證書的狀態(tài)。

通常終端實體檢查證書狀態(tài)的方式有三種：CRL方式、OCSP方式、None方式。

CRL方式：

如果CA支持CDP，那么當CA簽發(fā)證書時，在證書中會包含CDP信息，描述了獲取該證書CRL的途徑和方式。終端實體利用CDP中指定的機制和地址來定位和下載CRL。

如果PKI域下配置了CDP的URL地址，該地址將覆蓋證書中攜帶的CDP信息，終端實體使用配置的URL來獲取CRL。

在線證書狀態(tài)協(xié)議OCSP（Online Certificate Status Protocol）方式

如果CA不支持CDP，即證書中沒有指定CDP，并且PKI域下也沒有配置CRL的URL地址，終端實體可以使用OCSP協(xié)議檢查證書狀態(tài)。

None方式：

如果終端實體沒有可用的CRL和OCSP服務器，或者不需要檢查對端證書狀態(tài)，可以采用None方式，即不檢查證書是否被撤銷。

證書合法性驗證

終端實體獲取對端證書后，當需要對對端進行證書認證時，例如需要與對端建立安全隧道或安全連接，通常需要驗證對端證書和證書簽發(fā)者的合法性。如果證書簽發(fā)者的證書無效或過期，則由該CA簽發(fā)的所有證書都不再有效。但在CA證書過期前，設備會自動更新CA/RA證書，異常情況下才會出現(xiàn)CA證書過期現(xiàn)象。

為完成證書驗證，除了需要對端證書外，本地設備需要下面的信息：信任的CA證書、CRL、本端數(shù)字證書及其私鑰、證書認證相關配置信息。

證書驗證的主要過程如下：

使用CA證書的公鑰驗證認證機構的簽名是否正確。

根據(jù)證書的有效期，驗證證書是否過期。

檢查證書的狀態(tài)，即通過CRL、OCSP、None等方式檢查證書是否被撤銷。

證書鏈驗證

為驗證一個數(shù)字證書的合法性，首先需要獲得簽發(fā)這個證書的CA的公鑰（即獲得CA證書），以便檢查該證書上CA的簽名。一個CA可以讓另一個更高層次的CA來證明其數(shù)字證書的合法性，這樣順著證書鏈，驗證數(shù)字證書就變成了一個迭代過程，最終這個鏈必須在某個“信任點”（一般是持有自簽名證書的根CA或者是實體信任的中間CA）處結束。

所謂的證書鏈，是指從終端實體證書到根證書的一系列可信任證書構成的證書序列。任何終端實體，如果它們共享相同的根CA或子CA，并且已獲取CA證書，都可以驗證對端證書。一般情況下，當驗證對端證書鏈時，驗證過程在碰到第一個可信任的證書或CA機構時結束。

證書鏈的驗證過程是一個從目標證書（待驗證的實體證書）到信任點證書逐層驗證的過程。

關鍵詞： 數(shù)字證書