IRIS 2021 技术文档 First Look 28 - InterSystems 公钥基础设施 (PKI)

原创

于 2021-11-02 23:16:42 发布 · 319 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#大数据 #python #java #区块链 #安全

本文档详细介绍了 InterSystems 的公钥基础设施(PKI)及其在安全策略中的作用。通过实际操作，读者将学习如何配置 CA 服务器和客户端，创建证书签名请求，处理 CSR 并下载证书。虽然 InterSystems PKI 不适用于生产环境，但它为熟悉 PKI 工具和安全基础设施提供了实用平台。

本文档介绍了 InterSystems 公钥基础设施(PKI)，它可以在开发组织的安全策略中发挥重要作用。它提供有关公钥加密、证书颁发机构和 PKI 的信息。然后介绍一些与使用 InterSystems PKI 相关的初始任务。完成本指南后，您将有能力创建一个证书颁发机构 (CA)，然后向 CA 客户端请求并接收证书。
虽然 InterSystems PKI 不用于生产系统，但您可以用它来熟悉 PKI 工具和安全基础设施。作为设计和探索过程的一部分，这对于创建全面的安全方法特别有帮助。
本指南使用 InterSystems IRIS®数据平台的默认设置，这使您能够熟悉 PKI 的基本原理，而不必处理其他在执行实现时很重要的细节问题。有关数据库加密的完整文档，请参见 The InterSystems Public Key Infrastructure(《 InterSystems 公钥基础设施》)。
要浏览所有的技术概要(First Look)，包括可以在 InterSystems IRIS 免费的评估实例上执行的那些，请参见 InterSystems First Looks(《InterSystems 技术概要》)。

1 为什么 PKI 很重要
在许多企业中，关于安全漏洞的新闻频繁出现，这表明有必要保护他们的通信安全。企业需要保护从一个站点到另一个站点的数据，或者当需要某种可验证的、具有法律约束力的数字签名时。解决这些和其他需求的强大、有效和普遍的工具是公钥加密(public-key cryptography)和公钥基础设施(PKI)。
公钥加密(Public-key cryptography)能够对数据进行加密和解密。这提供了一种执行与保护数据相关的各种操作的方法。这包括保护在不安全的网络(如 Internet)上传输的数据或确定文档的来源。因此，它启用了关键技术，如传输层安全(Transport Layer Security，TLS)，这是浏览器保护我们与网站连接的手段。
公钥加密(Public-key cryptography)对不同实体控制的数据进行操作，这些实体可以是人、应用程序、组织等。但是，仅公钥加密(Public-key cryptography)并不能为这些实体在活动中的身份提供足够的信心，特别是在它们彼此不认识的情况下。为了达到这种信任水平，需要有一个更大的结构，同时为所涉及的实体提供值得信赖和可验证的标识信息。这样一个结构被称为 PKI(公钥基础设施)。
PKI 为实体建立了一种对彼此的身份有信心的方法，即使彼此没有任何直接的个人了解或接触。这要求每个实体信任第三方——证书颁发机构(CA)——为其他实体(也称为其他对等方)的身份提供担保。通过 PKI，实体可以进行有意义的、具有法律约束力的加密操作，其中包括加密、解密、数字签名和签名验证。
InterSystems 提供了一个公钥基础设施(PKI)，它使用 InterSystems IRIS 的实例作为 CA，允许您创建密钥对，并允许您创建与这些密钥对有关的证书。InterSystems CA 适合在组织内部和非生产环境中使用。不建议将其作为生产或商业 CA 使用；虽然它的证书在加密上是可靠的，但商业 CA 除了技术基础设施外，还需要一定程度的组织和法律基础设施。
为什么 PKI 很重要

使用 PKI 的公钥加密支持许多的安全活动：
•   对电子文档进行数字签名
•   验证电子文档的签名
•   加密各方之间的通信
•   加密文档

1.1 公钥加密和证书颁发机构(CA)如何协同工作的基本原理
在使用公钥加密时，每个实体都有一个严格保密的私钥(private key)，以及一个广泛使用的公钥(public key)。如果您使用其中一个密钥执行一个操作，您可以使用另一个密钥执行互补的操作；例如，如果您用私钥加密数据，那么只有您的公钥可以解密该数据。如果别人用您的公钥对内容进行加密，只有您的私钥——因此也只有您——能够解密。这意味着公钥加密为两个实体之间的安全和私人通信提供了一种方法。
为了使公钥加密在互不相识且不能轻易验证对方身份的实体之间发挥作用，需要有一个双方实体都信任的第三方。这个第三方是证书颁发机构(CA)。证书颁发机构创建证书，这些证书是将公钥绑定到公钥持有者的一组标识信息的数字文档。由于公钥和私钥不可分割地相互绑定，证书也将标识信息绑定到私钥上。一些企业有内部的 CA，它们用来支持内部活动；其他 CA 作为独立的组织运作，通常作为商业服务提供证书。商业 CA 通常在不同程度的身份验证基础上提供证书；在充分验证的情况下，证书可以在组织或个人和公私密钥对之间建立起具有法律约束力的联系。CA 的使用使处于不安全环境中的实体有足够的信心以有意义的和具有法律约束力的方式使用公钥加密。
互相通信的实体不需要使用相同的 CA。相反，每一个人只需要信任对方的 CA。这种信任 CA 的关系通常是在没有任何用户干预的情况下建立的，例如让浏览器附带一组预先批准的 CA 证书。事实上，一个实体可以信任一个 CA，因为它有第二个 CA 的证书，而这个 CA 已经被信任了；在这种情况下，第一个 CA 被称为中间 CA ——而且可以有多个中间 CA。
当一个实体从一个 CA 获得证书时，会发生许多事情——经常对用户不可见。首先，CA 客户端使用算法来生成密钥对；然后 CA 客户端获得必要的信息来描述使用该密钥对的实体，这与实体的位置、组织等有关。总的来说，这个标识信息包括一个专有名称(distinguished name，DN)。该实体以证书签名请求(certificate