CA策略发布目录（CPS）

什么是PKI

公钥基础设施（PKI）是基于公钥理论和技术建立的网络信息安全技术体系，是一种遵循标准的、为用户提供公钥证书管理、密钥管理、网络信息安全应用或安全管理的基础设施。它为网络内实体的认证、证书管理、数字签名、数据加密和网络信息的机密性、真实性、完整性、不可否认性与存取控制等安全需求提供了具有普适性的基础技术。它属于国家信息安全标准之一。PKI架构包括网络基础设施、安全支撑平台、应用支撑平台、安全业务应用和系统安全管理等。由于该系统是用公钥密码体制和技术来提供和实施安全服务的基础设施，国际上把它叫做公钥基础设施（Public Key Infrastructure），简记为PKI。

PKI需要与密钥管理基础设施KMI、权限管理基础设施PMI紧密结合，构成安全服务所必需的组件。KMI/PKI/PMI的体系结构依赖于其支持的应用。公钥基础设施在实际应用中，往往与对称密钥密码算法、数据摘要算法、公钥参数生成算法、随机数生成方法等相结合，共同发挥密码安全保护的作用。

什么是PKCS

PKCS即公钥密码标准，目前以发表15个，分别为PKCS＃1至PKCS＃15。

什么是公钥证书、CRL

公钥系统也叫双钥系统，双钥是指公钥与私钥，公钥是可以公开的，私钥是个人秘密保存的。常说的公私钥对就是指成对的公钥与私钥，所谓成对是指：用公钥加密的材料只有对应的私钥才能正确解开，私钥加密的材料只有对应的公钥才能正确解开。

公钥证书即用公开的用户公钥以及用户一些资料和限制采用一定的格式生成的带CA签名的电子文件，公钥证书也是公开的，

CRL是公钥证书撤销链，一条链中可有多个被撤销的证书。

什么是OCSP、LDAP

OCSP是在线证书状态查询协议，OCSP强调证书实时状态。

LDAP轻量级目录访问协议，本系统中用于发布证书与证书撤销链。

术语与定义

属性权威（Attribute Authority，AA）

通过发布属性证书进行权限分配的权限属性管理机构，也叫权限认证中心。

属性证书（Attribute Certificate，AC）

由授权管理机构作数字签名的证书，用以证明持有者的认证信息和其相应权限属性的确定性。属性证书也叫权限属性证书。

属性证书撤消表（Attribute Certificate Revocation List，ACRL）

一个标记一系列不再被属性证书发布者所信任的证书的签名列表（通称权限证书黑名单）。

证书认证中心（Certificate Authority， CA）

一个被终端实体所信任的签发公钥证书的证书认证实体，它是一个可信的权威机构，通常叫做“证书认证中心”或“证书管理中心”。

CA证书（CA-Certificate）

一个由CA给另一个CA签发的证书。

CA撤消列表（Certificate Authority Revocation List， ARL）

一个标记已经被注销的CA的公钥证书的列表，表示这些证书已经无效。

证书策略（ Certificate Policy）

是一个指定的规则集合，它指出证书对于具有普通安全需求的一个特定团体和（或）具体应用类的适用性。

证书撤消列表（Certificate Revocation List， CRL）

一个标记一系列不再被证书发布者所信任的证书的签名列表（通称黑名单）。

证书验证（ Certificate Validation）

确定证书在指定的时间内是否有效的过程，证书验证包括有效期验证、签名验证以及证书状态的检验。

验证路径（Certification Path）

一个在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥，可以通过路径获得最终的顶点的公钥。

CRL分布点（ Certificate Revocation List Distribution Point）

一个目录条目或其他的CRL分布源。一个通过CRL分布点发布的CRL，可以包括由一个CA分布的所有证书中的一个证书子集的注销条目，也可以包括全部证书的注销条目。

增量CRL （delta-CRL， dCRL）

是一个部分的CRL，它只包括那些在基础CRL确认后注销状态改变的证书的条目。

证书序列号（certificate serial number）

在一个认证权威所签发的证书中用于唯一标识数字证书的一个整数。

数字证书（Digital Certificate）

由认证权威数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

终端实体（end entity）

数字证书的主体用户，通称用户或客户。

完全的CRL （full CRL）

在给定的范围内，包含所有已经被注销的证书的证书注销列表。

策略映射（ policy mapping）

当一个域中的一个CA为另一个域中的一个CA进行证明时，用于说明后一个CA的一个特定的策略可以被认为等同于第一个CA的一个特定的策略相同（注意：这里并不要求两个CA的全部策略都等同）的规则。

私钥（private key）

在公钥密码系统中，用户的密钥对中只有用户本身才能持有的密钥。

公钥（ public-key）

在公钥密码系统中，用户的密钥对中可以被其它用户所持有的密钥。

公钥基础设施 (Public Key Infrastructure ，PKI)

一个能够对公钥进行管理以支持身份验证、加密、完整性以及不可否认性服务的基础设施。

权限（Privilege）

由认证中心分配给用户实体的属性、特性或特定权限。

权限管理基础设施（Privilege Management Infrastructure，PMI）

支持对用户进行授权服务的特权管理基础设施，它与公钥基础设施有密切的联系。

角色分配证书

一个证书，它包含角色的属性，为证书对象持有者分配一个或多个角色。

安全策略（ security policy）

由安全权威机构发布的用于约束安全服务以及设施的使用和提供方式的规则集合。

认证权威源（Source of Authority）

一个属性权威，它是特定资源的权限管理者。它验证用户实体的属性、权限，并作为最终认证中心为用户实体分配相应的权限。

信任（ trust）

通常说一个实体信任另一个实体表示后一个实体将完全按照第一个实体的规定进行相关的活动。在本标准中，信任用来描述一个认证实体与认证权威之间的关系。

目录查询协议（Lightweight Directory Acess Protocol，LDAP）

本规范指轻型目录查询协议LDAP。用户可使用LDAP协议，通过网络到目录服务器查询系统中的证书或证书撤消列表。

在线证书状态查询协议（Online Certificate Status Protocol，OCSP）

用户可使用OCSP协议，通过网络到OCSP服务器实时查询系统中证书的当前有效/无效状态。

对称密钥对

通指加密时使用的密钥与脱密时使用的密钥二者是相同的一对密钥。通常用于对称密钥密码算法。

非对称密钥对

通指加密时使用的密钥与脱密时使用的密钥二者是紧密相关但不相同的一对密钥。通常用于非对称密钥密码算法。

注册机构（Registration Authority,RA）

为用户办理证书申请，身份审核，证书下载、更新、注销以及密钥恢复等实际业务的办事机构或业务受理点，也叫证书注册审核中心。

简单对象访问协议（Simple Object Access Protocol,SOAP）

用该协议实现电子政务客户端与服务器端信息安全交换的功能。

扩展标记语言 (Extensible Markup Language, XML)

用于WWW上保存和传递信息的语言。

为什么公钥证书能标志用户身份

什么是签名、验证以及身份认证

本系统证书分类

本系统证书、CRL分区号

本系统OCSP、LDAP布置

怎样使用OCSP及LDAP

OCSP：

LDAP：

使用IE访问LDAP实例：

本系统证书扩展项设置

密钥用法KeyUsage是关键项。每用户有二张PKI证书，一张对应签名，一张对应加密；对应签名的KeyUsage是Digital Signature , Non-Repudiation(C0)，对应加密的KeyUsage是Key Encipherment , Data Encipherment(30)。
证书策略Certificate Policy，即本文档。
联机证书状态查询Authority Info Access，本系统联机证书状态查询点依照分区，每区用户证书中设置二个查询点，一个是本区OCSP，一个是总局OCSP。查询方法一种采用RFC2560：嵌套在HTTP之中，使用POST上传带签名的请求，一种是应用于服务器大批量查询SOCSP。
撤销证书链发布点CRL Distribution Point，本系统撤销证书链发布点依照分区，每区用户证书中设置二个发布点，一个是本区LDAP，一个是总局LDAP。为了兼容大多数现行软件，本系统撤销证书链查询采用HTTP协议。这二个地点也可以使用LDAP协议查询证书等用户信息。
新增扩展项

1.2.86.11.7.1 中国信息安全标委会证书扩展域：身份证号

1.2.86.11.7.2 中国信息安全标委会证书扩展域：社会保险号

1.2.86.11.7.3 中国信息安全标委会证书扩展域：组织机构代码

1.2.86.11.7.4 中国信息安全标委会证书扩展域：工商注册号

1.2.86.11.7.5 中国信息安全标委会证书扩展域：税号

怎样与第三方CA实行交叉认证

采用非层次结构的各个CA之间进行相互签名方式，即把对方当成自己的子CA；使得不同信任域的CA用户之间能够进行互联和认证。

本系统证书使用限制

本系统证书使用上有别于单证书系统，我们的二张证书一张只能用于签名、认证，另一张则用于加密，这种限制在证书扩展项上有标志，参见密钥用法KeyUsage

本系统遵循的标准

国家标准：双中心、双证书系统，国产算法

国际标准：X.509 X.500 X.208 X.209 X.609等

PKCS＃1 PKCS＃5 PKCS＃7 PKCS＃9

PKCS＃10 PKCS＃11 等

RFC2510 RFC2560 RFC 1777等

CA策略发布目录SPC相关推荐

Linux下搭建SVN服务器及自动更新项目文件到web发布目录（www)
一.linux服务器端配置 1 2 3 4 5 6 7 8 9 [root@server ~]# rpm -qa | grep sub subversion-libs-1.7.14-10.el7.x8 ...
用组策略发布软件的简单解决办法
利用组策略发布软件的简单解决办法今天和大家共同学习一下利用组策略来发布软件,据说是很方便的,今天就来试一下先说点小知识点:可能大家早就已经知道.见笑见笑软件的部署分为指派和发布两种.发布呢不具有 ...
android 根目录缓存,Android缓存策略和目录
2016.12.22 在使用图片加载库Glide时,要让磁盘缓存到指定的目录用 DiskLruCacheFactory: 由此展开的 Android 缓存策略和目录. 一.缓存: 通俗的说就是把一些经 ...
将jar添加到发布目录_第32批免购置税新能源车型目录发布；通用BEV3平台将入华...
1.第32批免购置税新能源车型目录发布,几何X/理想ONE等283款车型入选6月2日,工信部发布<免征车辆购置税的新能源汽车车型目录(第三十二批)>,共有283款新能源车型入选.其中新能源 ...
IBM 2013策略发布：大数据和分析、云计算、企业移动、社交商务、智慧商务、智慧城市...
4月11日(上周四),IBM软件集团召开了一年一度的策略发布会,本次主题为软实力.新智慧.新格局.在会上,IBM大中华区副总裁兼大中华区软件集团总经理胡世忠解读了IBM软件集团在五大创新领域和四大联 ...
行云管家 V4.7产品新特性-国际化版本、支持Oracle的数据库审计、主机密码自动修改策略发布日期：2018-11-22...
行云管家在线体验: 行云管家[官网]-领先的云计算管理平台-云安全,堡垒机,自动化运维行云管家新手有礼活动: 行云管家新手有礼,新用户1元即可体验专业版-优惠券发布日期:2018-11-22 ...
2007年IBM合作伙伴峰会及新年策略发布
近日,IBM在三亚亚龙湾成功举办了"零售行业合作伙伴峰会暨零售战略高层研修",专注于中国零售业的百余家软件商.集成商及代理商的老总们相聚在美丽的三亚亚龙湾,共同探讨零售行业的未来发 ...
阿里手机操作系统全新策略发布
4月15日消息,阿里手机系统对外公布了最新的商业策略,宣布将用平台.开放的方式.围绕手机操作系统,建立一个终端手机厂商.运营商.硬件厂商.设计公司.开发者等的新生态体系.同一天,云手机频道正式亮相淘宝 ...
linux修改默认发布目录,Linux环境更改Jenkins默认主目录
Linux系统修改Jenkins默认主目录由于Jenkins默认主目录空间太小,生产中需要将默认目录修改到其它目录.Linux环境中,Jenkins主目录默认在/root/.jenkins 注意:线 ...

CA策略发布目录SPC