数字证书
数字证书简称证书,它是一个经证书授权中心(即在PKI中的证书认证机构CA)数字签名的文件,包含拥有者的公钥及相关身份信息。
证书有四种类型:
- 自签名证书 又称为根证书,是自己颁发给自己的证书,即证书中的颁发者和主体名相同。申请者无法向CA申请本地证书时,可以通过设备生成自签名证书,可以实现简单证书颁发功能。设备不支持对其生成的自签名证书进行生命周期管理(如证书更新、证书撤销等)。
- CA证书:CA自身的证书。
- 本地证书: CA颁发给申请者的证书。
- 设备本地证书:设备根据CA证书给自己颁发的证书,证书中的颁发者名称是CA服务器的名称。申请者无法向CA申请本地证书时,可以通过设备生成设备本地证书,可以实现简单证书颁发功能。
证书结构
PKI体系架构
一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。
PKI生命周期
PKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。
证书申请
PKI实体向CA申请本地证书有以下两种方式
- 在线申请(SCEP,简单证书注册协议)
- 离线申请(PKCS#10方式)
PKI工作过程
针对一个使用PKI的网络,配置PKI的目的就是为指定的PKI实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。
总结
数字证书
PKI
持续更新…