前面几章主要是介绍了PKI的一些基础信息,比如为什么需要引入PKI,证书为什么是由那些信息组成的。接下来这两章是介绍PKI的整体架构以及在实际使用中会有哪些操作。
体系架构
上图就是一般情况下的PKI体系架构,一个PKI体系由终端实体EndEntity、证书认证机构CA、证书注册机构RA和证书/CRL存储库四部分共同组成。
终端实体EE(End Entity) 终端实体也称为PKI实体,它是PKI产品或服务的终使用者,可以是个人、组 织、设备(如路由器、防火墙)或计算机中运行的进程。
证书认证机构CA(Certificate Authority) CA是PKI的信任基础,是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构,通常由服务器充当,例如Windows Server 2008。
证书注册机构RA(Registration Authority) RA是数字证书注册审批机构,RA是CA面对用户的窗口,是CA的证书发放、管理 功能的延伸,它负责接受用户的证书注册和撤销申请,对用户的身份信息进行审 查,并决定是否向CA提交签发或撤销数字证书的申请。 RA作为CA功能的一部分,实际应用中,通常RA并不一定独立存在,而是和CA合并在一起。RA也可以独立出来,分担CA的一部分功能,减轻CA的压力,增强CA系统的安全性。
证书/CRL存储库 由于用户名称的改变、私钥泄露或业务中止等原因,需要存在一种方法将现行的 证书吊销,即撤销公钥及相关的PKI实体身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表CRL。 任何一个证书被撤销以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。因此,CRL提供了一种检验证书有效性的方式。 证书/CRL存储库用于对证书和CRL等信息进行存储和管理,并提供查询功能。构建证书/CRL存储库可以采用FTP(File Transfer Protocol)服务器、HTTP (Hypertext Transfer Protocol)服务器或者数据库等等。
