PKI与证书服务

PKI

PKI（Public Key Infrastructure）公钥基础设施，是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。

PKI体系能够实现的功能有：

PKI 主要包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）、CA 操作协议、CA 管理协议、CA 政策制定。

一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分

认证中心CA，CA 是PKI 的核心，CA 负责管理PKI 结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA 还要负责用户证书的黑名单登记和黑名单发布
X.500 目录服务器，X.500 目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
具有高强度密码算法(SSL)的安全WWW服务器， Secure socket layer(SSL)协议最初由Netscape 企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
Web（安全通信平台），Web 有Web Client 端和Web Server 端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
自开发安全应用系统，自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定（包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。

PKI的基础技术包括公钥加密、数字签名、数据完整性机制、数字信封、双重数字签名等

完整的PKI系统必须具有权威认证机构(CA)、数字证书库LDAP、密钥备份及恢复系统、证书作废系统CRL、应用接口（API）等基本组成部分，构建 PKI 也将围绕着这五大系统来着手构建

权威认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征，CA是证书的签发机构,它是PKI的核心
证书注册审核系统(RA)：该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能，为整个机构体系提供电子认证服务
数字证书库LDAP：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；
密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。
证书作废系统CRL：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。