PKI与证书服务

PKI:公钥基础设施（Public Key Infrastructure）

• 通过使用公钥技术和数字签名来确保信息安全

• 由公钥加密技术、数字证书、CA、RA组成

PKI体系能够实现的功能:

• 数据机密性

• 身份验证

• 数据完整性

• 操作的不可否认性

公钥加密技术是PKI的基础:

公钥与私钥关系

• 成对生成，互不相同，互相加密与解密

• 不能根据一个密钥来推算出另一个密钥

• 公钥对外公开，私钥只有私钥持有人才知道

• 私钥应该由密钥的持有人妥善保管

  根据实现的功能不同，可分为数据加密和数字签名

  
  

数据加密:

• 发送方使用接收方的公钥加密数据

• 接收方使用自己的私钥解密数据

数据加密能保证所发送数据的机密性

数字签名:

• 发送方对原始数据执行HASH算法得到摘要值

• 发送方用自己私钥加密摘要值

• 将加密的摘要值与原始数据发送给接收方

• 对方用发送方的公钥对摘要进行解密，同时又对收到的文件用与发送方相同的HASH算法得到一个新的摘要

• 将解密的摘要与新得到的摘要进行对比，可以得出文件在传输过程中是否被破坏或篡改

数字签名保证数据完整性、身份验证和不可否认

PKI协议

• SSL

• HTTPS

• IPSec

证书用于保证密钥的合法性，主体可以是用户、计算机、服务等，格式遵循X.509标准

• 数字证书包含信息

• 使用者的公钥值

• 使用者标识信息

• 有效期

• 颁发者标识信息

• 颁发者的数字签名

数字证书由权威公正的第三方机构即CA签发

CA（Certificate Authority，证书颁发机构）

核心功能是颁发和管理数字证书

证书的颁发过程：

用户申请-RA处理申请-RA验证并签名-RA提交CA-CA制作证书并归档-CA发放证书给RA-RA颁发证书给用户-用户验证

CA分类

• 企业（域环境，证书自动颁发）

• 独立（工作组环境，证书手动颁发）

申请证书地址：http://服务器IP/certsrv