1. Infraestrutura de Chave Pública
Public Key Infrastructure PKI (Public Key Infrastructure) é através do uso de tecnologia de chave pública e certificados digitais para fornecer serviços de segurança de sistemas de informação, e é responsável por verificar a identidade dos proprietários de certificado digital de uma arquitetura de. A infraestrutura da PKI usa um certificado para gerenciar a chave pública.Por meio de um centro de certificação confiável de terceiros, a chave pública do usuário e as informações de identidade do usuário são agrupadas.É uma infraestrutura de segurança universal e um conjunto de sistemas de serviços.
A função da PKI é vincular a identidade do titular do certificado e a chave pública relevante, respondendo ao certificado de dados, fornecendo uma maneira conveniente para os usuários obterem certificados, acessarem certificados e revogarem certificados. Ao mesmo tempo, certificados digitais e serviços relacionados (emissão de certificados, emissão de lista negra, etc.) são usados para realizar a autenticação de identidade das entidades no processo de comunicação, garantindo a confidencialidade, integridade, não repúdio e autenticação dos dados de comunicação.
2. arquitetura do sistema PKI
A arquitetura da PKI consiste em solicitantes de certificado, agências de registro RA, centro de certificação CA e lista de revogação de certificados CRL.
(1) CA ( Autoridade de Certificação ) : Responsável pela emissão e revogação de certificados (Revogar), recebendo solicitações da RA, é a parte principal.
(2) RA (Autoridade de registro) : verifique a identidade do usuário, verifique a legalidade dos dados, seja responsável pelo registro e envie-o para a CA após revisão.
(3) Biblioteca de armazenamento de certificados : armazene certificados, principalmente no formato padrão da série X.500.
O processo de operação comum é que os usuários se registram para obter um certificado através do registro de RA, fornecem informações de identidade e autenticação, etc; depois que a auditoria da CA é concluída, o certificado é fabricado e emitido para o usuário. Se o usuário precisar revogar o certificado, ele precisará enviar o aplicativo para a CA novamente.
3. Emissão de certificados
A CA que assina um certificado para um usuário está realmente assinando a chave pública do usuário, usando a chave privada da CA para assiná-lo , para que qualquer pessoa possa usar a chave pública da CA para verificar a validade do certificado.Se a verificação for bem-sucedida, o certificado será reconhecido. O conteúdo da chave pública do usuário fornecida realiza a distribuição segura da chave pública do usuário.
Existem duas maneiras de emitir certificados de usuário. Geralmente, a CA pode gerar diretamente o certificado (incluindo a chave pública) e a chave privada correspondente e enviá-la ao usuário; o usuário também pode gerar a chave pública e a chave privada por conta própria e, em seguida, a CA assina o conteúdo da chave pública.
Existem duas maneiras de as entidades PKI solicitarem certificados locais da CA: (1) inscrição online (2) inscrição offline
4. Revogação do certificado
O certificado será invalidado após o término do período de validade. Os usuários também podem solicitar à CA para revogar um arquivo de certificado. Como a CA não pode forçar a recuperação do certificado digital emitido, para obter a invalidação do certificado, geralmente é necessário manter uma lista de revogação de certificados (Lista de revogação de certificados) , CRL), usado para registrar o número de série do certificado revogado.
Portanto, em circunstâncias normais, quando terceiros verificam um certificado, é necessário verificar primeiro se o certificado está na lista de revogação. Se existir, o certificado não poderá ser verificado. Caso contrário, continue o processo de verificação de certificado subsequente.