PKI

PKI （Public Key Infrastructure ）公开密钥基础设施，是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的一种基础设施; 是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

PKI既不是一个协议，也不是一个软件，它是一个标准，在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。PKI通过传播数字证书来保证安全，于是认证中心CA就变成了PKI的核心。

CA

认证中心CA(Certificate Authority) 是一个负责发放和管理数字证书的第三方权威机构，它负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。CA机构的数字签名使得攻击者不能伪造和篡改证书。

认证中心主要有以下5个功能：

证书的颁发：接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请。可以受理或拒绝

证书的更新：认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书

证书的查询：查询当前用户证书申请处理过程；查询用户证书的颁发信息，这类查询由目录服务器ldap来完成

证书的作废：由于用户私钥泄密等原因，需要向认证中心提出证书作废的请求；证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。

证书的归档：证书具有一定的有效期，证书过了有效期之后就将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。

PKI标准

PKI的标准规定了PKI的设计、实施和运营，规定了PKI各种角色的”游戏规则”，提供数据语法和语义的共同约定。PKI体系中有很多SSL证书格式标准。

其中最为人熟知的有x.509和PKCS#12（pfx, p12为证书后缀）

基于PKI标准的SSL公钥格式

1. 证书版本号(Version)

版本号指明X.509证书的格式版本，现在的值可以为: 0:v1， 1:v2， 2:v3

2. 证书序列号(Serial Number)

序列号指定由CA分配给证书的唯一的"数字型标识符"。当证书被取消时，实际上是将此证书的序列号放入由CA签发的证书废除列表CRL(Certificate revocation lists 证书黑名单)中，

3. 签名算法标识符(Signature Algorithm)

签名算法标识用来指定由CA签发证书时所使用的"签名算法"。算法标识符用来指定CA签发证书时所使用的公开密钥算法或hash算法

4. 签发机构名(Issuer)

此域用来标识签发证书的CA的X.500DN(DN-Distinguished Name)名字。包括:

1) 国家(C) 2) 省市(ST) 3) 地区(L) 4) 组织机构(O) 5) 单位部门(OU) 6) 通用名(CN) 7) 邮箱地址

5. 有效期(Validity)

指定证书的有效期，包括:

1) 证书开始生效的日期时间 2) 证书失效的日期和时间

每次使用证书时，需要检查证书是否在有效期内。

6. 证书用户名(Subject)

指定证书持有者的X.500唯一名字。包括:

同签发机构名(Issuer)中的条目

7. 证书持有者公开密钥信息(Subject Public KeyInfo)

证书持有者公开密钥信息域包含两个重要信息:

1) 证书持有者的公开密钥的值 2) 公开密钥使用的算法标识符。此标识符包含公开密钥算法和hash算法。

8. 扩展项(extension)

X.509V3证书是在v2的基础上一标准形式或普通形式增加了扩展项，以使证书能够附带额外信息。

9. 签发者唯一标识符(Issuer Unique Identifier)

签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时，用一比特字符串来唯一标识签发者的X.500名字。可选。

10. 证书持有者唯一标识符(Subject Unique Identifier)

持有证书者唯一标识符在第2版的标准中加入X.509证书定义。此域用在当同一个X.500名字用于多个证书持有者时，用一比特字符串来唯一标识证书持有者的X.500名字。可选。

11. 签名算法(Signature Algorithm)

证书签发机构对证书上述内容的签名算法

12. 签名值(Issuer's Signature)

证书签发机构对证书上述内容的签名值

证书案例

crt