PKI体系与CA证书
一 PKI简介
PKI(Public Key Infrastructure)公共密钥基础建设,又称为公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础机构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说PKI就是利用公钥理论和技术建立的提供的安全服务设施,是信息安全技术的核心。其目的在于创造、管理、分配、使用、存储以及撤销数字证书。当然PKI既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。
二 PKI的主要组成组件
1、认证中心CA(证书签发)
CA是PKI的核心,即数字证书的申请及签发机关,CA必须具备有权威性的特征,它是负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还有负责用户证书的黑名单登记和黑名单发布。
2、X.500 目录服务器(证书保存)
X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。
3、具有高强度密码算法(SSL)的安全WWW服务器
secure socker layer(ssl)协议最初由Netscape企业发展,现已成为网络用来鉴别和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
4、web(安全通讯平台)
Web client 端和 web server 端两部分,分别安装在客户端和服务器端,通过具有够强度密码算法的ssl协议保证客户端和服务器端数据的机密性、完整性、身份验证。
5、自开发安全应用系统
三 认证中心CA(certificate authority)
1、 接受验证最终用户数字证书的申请。
2、 确定是否接受最终用户数字证书的申请-证书的审批
3、 想申请者颁发、拒绝颁发数字证书-证书的发放。
4、 接受、处理最终用户的数字证书更新请求-证书的更新
5、 接受最终用户数字证书的车讯、撤销
6、 产生和发布证书废纸列表(CRL)
7、 数字证书的归档
8、 密钥归档
9、历史数据归档
数字签名
数字签名的生成:对于要传输的消息原文使用消息摘要算法(MD5、SHA)生成消息摘要,发送方使用自己的私钥对摘要进行加密,生成数字签名。
数字签名的验证:数字签名同消息一通传输给接收方,接收方对签名使用发送方的公钥解密还原摘要,并对得到的原文进行hash计算出消息摘要,比对两份消息摘要是否相同,可以保证消息的完整性和抗否认性。
用发送方私钥生成数字签名,用发送方公钥解密,证明消息确实是由公钥拥有者发出的。两份摘要的比对结果,可以证明消息在传输过程中是否被改动。
数字证书的生成
CA收到数字证书申请并认证申请者的真实身份后,把申请者的公钥、身份信息、数字证书的有效期等信息作为消息原文,进行hash生成摘要,并用CA的私钥加密进行签名;数字签名与证书拥有者的公钥、身份信息、证书有效期等其他信息共同组成数字证书。
数字证书的验证
接收方收到消息证书后,使用CA公钥对数字签名解密生成消息摘要,对证书内容进行hash生成摘要,两份摘要进行比对可证明证书内容的完整性与真实性。
使用CA私钥进行签名和解密,可以证明证书确实是由CA发布的;
两份摘要的对比结果,可以证明证书内容是否在传输过程中被改动;
如果消息原文中的公钥和身份信息是CA的,则是CA自签名的过程。
参考链接:
http://www.voidcn.com/article/p-kkhodxvp-kv.html
https://www.jianshu.com/p/c65fa3af1c01
PKI体系与CA证书相关推荐
- SSL协议安全系列:PKI体系中的证书吊销
GoSSIP_SJTU · 2016/03/03 10:06 0x00 前言 在前面的章节我们讨论了部分SSL/TLS握手协议.记录协议中存在的安全问题,针对它们的攻击以及相应的加固方案.在SSL/T ...
- PKI体系及常见证书
http://blog.chinaunix.net/space.php?uid=23637692&do=blog&id=3057988 1.PKI体系 1.1 PKI(Public K ...
- PKI详解与openssl实现私有CA证书签发
加密解密技术基础 在看这篇文章之前,首先需要有加密解密的技术基础: 安全目标: 保密性:确保通信信息不被任何无关的人看到 完整性:实现通信双方的报文不丢失.数据完整性.系统完整性 可用性:通信任何一方 ...
- 使用CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件
要安装kubernetes最新版集群,https://github.com/opsnull/follow-me-install-kubernetes-cluster 这个文档必须要研习一下了. 以下实 ...
- 基于 OpenSSL 生成自签名证书,数字签名,泛域名证书,ca证书,PKI等
基于 OpenSSL 生成自签名证书_qhh0205-CSDN博客_openssl自签名证书 windows 下 nginx 双向认证自签名证书配置 windows 下 nginx 双向认证自签名证书 ...
- 密码学 / PKI 体系概述
CA中心--CA系统--数字证书 CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书. 专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心.所有与数 ...
- CA证书和TLS介绍
数字签名 用自己的私钥给数据加密就叫数字签名 公钥传输威胁 在A和B的通信中,C可以把自己的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反而无法解密,而C却可以解密出数据.从而实现 ...
- 数字安全证书(CA证书)介绍
数字安全证书(CA证书)是由可信任的第三方机构(CA中心)颁发给个人或者企业用户,用来验证身份.数据签名.数据加密等操作.CA证书是整个PKI体系的核心,目前国内CA中心由国家密码管理局管理,基本上每 ...
- Centos搭建简单的证书机构,CA证书服务器
CA认证: CA认证,即电子认证服务 [1] ,是指为电子签名相关各方提供真实性.可靠性验证的活动. 证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构.是负责发 ...
- 深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
互联网是虚拟的,通过互联网我们无法正确获取对方真实身份.数字证书是网络世界中的身份证,数字证书为实现双方安全通信提供了电子认证.数字证书中含有密钥对所有者的识别信息,通过验证识别信息的真伪实现对证书持 ...
最新文章
- Linux追加文件内容并在内容前加上该文件名(awk, FILENAME功能妙用)
- 38.linux集合
- mysql导入导出.sql数据
- 如何采用python语言绘制一条_如何使用matplotlib绘制一条线?
- Jquery实现 全选反选
- 电商项目的并发量一般是多少_掌握这些,高并发秒杀系统就不用担心了!
- KDD 2019论文解读:异构信息网络上的对抗生成学习
- java获取linux下面所有线程,获取Linux中Java线程的线程ID
- C#笔记14 LINQ
- PGSQL触发器实例
- Centos Siege测试使用
- Paper:可解释性之ICE/PDP《Peeking Inside the Black Box: Visualizing Statisti窥视黑盒内部:用个体条件期望ICE图可视化统计学习》翻译与解读
- num find matlab,matlab中find函数的使用说明
- 一个小的java作业,第一次上传CSDN,原创的
- 苹果手机上音乐播放的问题
- Struts 2 studing
- 电脑开机在一会儿未使用卡死解决方法
- 阿里巴巴为何坚持对混沌工程的研发迭代?
- oracle数据库查看所有表和注释,oracle数据库当前用户下所有表名和表名的注释
- docker login Harbor时报错403 Forbidden