第4讲公钥基础设施pki

第4讲公钥基础设施pki内容摘要：

政策下证书的颁发和使用规则 证书数据库 只通过 CA对证书进行发布是不够的，验证者需要比 较容易地找到对应于不同签名者的公钥  需要证书数据库（ CR）  CR可以由以下几种方式实现： 轻量级目录管理协议（ LDAP ） Web服务器 DNS 共用数据库 证书撤销以及 CRL数据库  验证者通过证书撤销机制可以得知一个证书是否被作废  证书撤销与证书过期 证书过期是指过了有效期后证书自动失效（如驾照的有效期） 证书撤销是某事件发生，使得公钥与主体身份之间的绑定关系失效，如： 主体身份发生改变（如女人婚后姓氏发生改变） 私钥泄露 非法用户（如司机违章，驾照被吊销）  撤销证书由 CRL发布者发布到 CRL数据库中 证书的注销机制  由于各种原因，证书需要被注销  比如，私钥泄漏、密钥更换、用户变化  PKI中注销的方法  CA维护一个 CRL(Certificate Revocation List)  基于 Web的 CRL服务  检查 CRL的 URL应该内嵌在用户的证书中  可以提供安全途径 (SSL)访问 URL  返回注销状态信息  其他的用法由浏览器决定 证书撤销列表 24 2020/11/17 公钥证书生命周期 密钥 /证书 生成 密钥 /证书 使用 密钥 /证书 失效 密钥 /证书生成过程  初始化过程 主要包括： 证书主体注册 密钥生成 证书生成与密钥 /证书发布 证书传播 密钥备份（如果需要的话） 证书主体注册  一个独立用户或进程的身份被建立并验证  对于该过程控制的强度取决于 CPS/CP： 证书认证业务声明（ CPS）描述 CA的操作规程 证书政策（ CP）指定了如何应用某公私钥对（数字签名、数据加密、网站一致性验证等）。 该信息应由 CA发布。 证书主体注册 主体 （终端实体） 注册机构 （ RA） 认证机构 （ CA） 密钥生成  密钥对可以在不同的地点产生： 终端实体（如用户的 PC主机） RA CA 可信的第三方密钥生成设备  需要考虑的因素： 性能（例如在移动电话中产生密钥） 确定性 密钥用途（例如机密性、不可否认性） 密钥用途（例如机密性、不可否认性） 下面的原则是对于不同的用途使用不同的密钥 用于数字签名（相应的证书成为验证证书） 用于数据加密（相应的证书成为加密证书） 密钥用途对于密钥产生地点有影响 如果密钥用于实现不可否认性，则应由终端实体产生，私钥只能该实体拥有 作为 PKI系统中最可信的实体 CA，也可以知道私钥，对于这一点有争议。 密钥生成  Java环境： KeyTool 用于创建、储存、管理密钥 功能： 生成公私钥对 将 V V V3版本的证书作为文件储存，并能够输入、输出。