1.公開鍵インフラストラクチャ
公開鍵基盤 PKI(公開鍵インフラストラクチャ)はを使用している公開鍵技術とデジタル証明書の情報システムのセキュリティサービスを提供するために、かつ責任あるデジタル証明書の所有者の身元検証のアーキテクチャを。PKIインフラストラクチャは、証明書を使用して公開キーを管理します。サードパーティの信頼できる認証センターを通じて、ユーザーの公開キーとユーザーのID情報がバンドルされます。これは、ユニバーサルセキュリティインフラストラクチャと一連のサービスシステムです。
PKIの機能は、データ証明書に返信することにより、証明書所有者のIDと関連する公開鍵をバインドし、ユーザーが証明書を取得し、証明書にアクセスし、証明書を取り消すための便利な方法を提供します。同時に、デジタル証明書と関連サービス(証明書の発行、ブラックリストの発行など)を使用して、通信プロセスにおけるエンティティのID認証を実現し、通信データの機密性、完全性、否認防止、認証を保証します。
2. PKIシステムアーキテクチャ
PKIアーキテクチャは、証明書申請者、登録機関RA、認証センターCA、および証明書失効リストCRLで構成されています。
(1)CA(認証局):RAからのリクエストを受信し、証明書の発行と取り消し(Revoke)を担当します。
(2)RA(Registration Authority):ユーザーの身元を確認し、データの合法性を確認し、登録に責任を持ち、確認後にCAに送信します。
(3)証明書ストレージライブラリ:証明書を保存します。ほとんどの場合、X.500シリーズの標準形式です。
一般的な操作プロセスは、ユーザーがRA登録を通じて証明書を登録し、IDと認証情報を提供するなどです。CA監査が完了すると、証明書が作成されてユーザーに発行されます。ユーザーが証明書を取り消す必要がある場合は、アプリケーションを再度CAに送信する必要があります。
3.証明書の発行
CAがユーザーに証明書に署名することは、実際にはユーザーの公開鍵に署名し、CAの秘密鍵を使用して署名することにより、誰でもCAの公開鍵を使用して証明書の有効性を検証できます。検証が成功すると、証明書が認識されます。提供されたユーザー公開鍵の内容は、ユーザー公開鍵の安全な配布を実現します。
ユーザー証明書を発行するには2つの方法があります。通常、CAは証明書(公開鍵を含む)と対応する秘密鍵を直接生成してユーザーに送信できます。ユーザーは公開鍵と秘密鍵を自分で生成してから、CAが公開鍵の内容に署名することもできます。
PKIエンティティがCAからのローカル証明書を申請する方法は2つあります。(1)オンラインアプリケーション(2)オフラインアプリケーション
4.証明書の失効
有効期限が切れると、証明書は無効になります。ユーザーは、証明書ファイルを取り消すためにCAに申請することもできます。CA は発行されたデジタル証明書の復元を強制できないため、証明書の無効化を達成するために、証明書失効リスト(証明書失効リスト)を維持する必要があることがよくあります。、CRL)、失効した証明書のシリアル番号を記録するために使用されます。
したがって、通常の状況では、サードパーティが証明書を検証するときに、まず証明書が失効リストにあるかどうかを確認する必要があります。存在する場合、証明書を検証できません。そうでない場合は、後続の証明書検証プロセスを続行します。