RA
RA:注册中心,用于对用户提供面对面的证书业务服务。
系统功能:
用户信息录入;用户信息审核;用户证书下载;
安全审计;安全管理;多级审核;
RA具有并行处理的能力
CRL
CRL:证书撤销列表,是最常用的证书撤销机制。
CRL基本格式:被签名的信息内容、签名算法、签名结果。
发布证书撤销信息过程:PKI系统中的CA将当前证书的撤销标识(通常是证书序列号)集中到一个列表中,向PKI所有用户公布。
检查证书撤销状态过程:1.验证CRL本身的有效性;2.构造被撤销证书的证书序列号列表。3.检查证书是否已经被撤销。
OCSP
OCSP:在线状态协议,是最常用的在线查询机制。
OCSP是简单的“请求——响应”协议,查询者向服务器询问某些特定证书的撤销状态,服务器响应的消息可以是正常、被撤销或者未知。
OCSP协议要求服务器对响应消息进行数字签名,在响应消息中加入当前时间,提供数据起源鉴别和数据完整性保护。
OCSP响应的仅仅是关于撤销状态,不检查其他方面。例如OCSP服务器不验证证书是否已经过期等。
在线证书状态查询系统结构:
OCSP服务器/证书状态数据库:接受请求,根据请求信息中的证书序列号查询证书状态,查询结果返回给请求者;
密码设备:验证请求信息中的签名,并对查询结果进行签名;
安全管理:OCSP服务器的配置;启动/停止查询服务;
安全审计:查询安全审计日志,进行统计与打印;
使用在线证书状态查询需要客户端与OCSP服务器保持实时的连接,证书中包含OCSP服务器的地址,通过这个地址,可以使用在线证书状态查询服务
LDAP
LDAP:基于X.500标准的轻量级目录访问协议。
目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。
LDAP目录服务是由目录数据库和一套访问协议组成的系统。
目录树概念
目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。
对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。
基本模型
1).信息模型 2).命名模型 3). 功能模型 4). 安全模型
双证书体系
数字证书和签名证书
签名证书:用于签名的证书,根据电子签名法,由订户自己生成并专有控制。
加密证书:用于加密的私钥,根据密码管理规定,由专门的可信机构(KMC)生成并和用户共同掌握,用于密钥的恢复。
双证书操作流程
签名证书申请:
申请者生成密钥对;
申请者将身份信息和公钥交给RA;
RA确认无误后,CA签发证书。
加密证书申请:
申请者将身份信息交给RA,申请证书;
RA确认无误后,RA或者CA从CMA获得密钥对;
CA签发证书,并和私钥一起交给申请者。
合并流程:
用户和RA只进行一次交互,KMC只面向CA。
申请者生成签名密钥对;
申请者向RA提出证书申请,消息中包含签名公钥;
RA审核申请人信息,对签名公钥做POP检查;
CA/RA向KMC请求加密密钥对;
KMC分配密钥,响应请求;
CA签发两张证书,和加密密钥一起交给申请者。
TSL握手协议
四个阶段
1.相互问候,协商密钥交换算法和压缩算法;
2.服务器发言,根据既定的密钥交换算法向客户端提供信息;
3.客户端发言,根据既定的密钥交换算法向服务的提供信息;
4.双方互相确认并结束握手过程;
客户端服务端分别持有自己的证书相互进行身份验证;