数字证书的两个作用:
1. 身份验证。确保客户端访问的网站是通过CA认证的可信赖的网站
2. 分发公钥。
简介
PKI(Public Key Infrastructure)公钥基础设施
“遵循标准的利用公钥加密技术提供一套安全基础平台的技术和规范。支持公钥管理并能支持认证,加密,完整性和可追究性服务的基础设施“
“完整的PKI系统具有 CA, 数字证书库,密钥备份及恢复系统,证书作废系统,应用接口。“ –from Baike
CA(Certificate Authority),数字证书认证机构
CA负责签发和管理证书
证书库:CA办法的证书和撤销证书
证书的撤销: 证书撤销列表(CRL)
数字证书
数字证书就是一个公钥,一个CA对证书信息的签名,附加一些信息。
从下图中可以获取几点信息:
1. CA的组织结构: 树形,最顶层为根CA(根证书比较特殊,是自签发),根CA可以授权多个中级CA,中级CA可以授权证书。
2. 证书是有有效期限的,也就是会过期,但PKI提供一种机制解决密钥更新带来的复杂性和马反省,会在过期前的一段时间间隔里启动程序自动更新证书。
申请证书
证书申请者会生成一对公钥和私钥,会把公钥和一些其它信息制作成CSR格式的文件发送给RA(r: 目前还不知道RA指的是什么),RA验证信息后会将CSR发给CA,CA制作X.509标准格式的文件(即证书)。
eg: 目前还未申请