隨著社會越來越發達，大家都選擇在網絡上汲取相關知識內容，比如ca認證是什么(ca數字證書初始密碼)，為了更好的解答大家的問題，小編也是翻閱整理了相應內容，下面就一起來看一下吧！

(相關資料圖)

公鑰基礎設施PKI（Public Key Infrastructure）

一種遵循既定標準的密鑰管理平臺，它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。

簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施，PKI技術是信息安全技術的核心。

一個PKI體系由終端實體、認證機構、注冊機構和證書/CRL存儲庫四部分共同組成：

1、終端實體，是PKI產品或服務的最終使用者，可以是個人、組織、設備（如路由器、交換機）或計算機中運行的進程。

2、認證機構CA（Certificate Authority），是PKI的信任基礎，是一個用于簽發并管理數字證書的可信實體。其作用包括：發放證書、規定證書的有效期和通過發布CRL確保必要時可以廢除證書。

3、注冊機構RA（Registration Authority），RA是CA的延伸，可作為CA的一部分，也可以獨立。RA功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。PKI國際標準推薦由一個獨立的RA來完成注冊管理的任務，這樣可以增強應用系統的安全性。

4、證書/CRL存儲庫，負責證書和CRL的存儲、管理、查詢等。

概念和術語

公鑰加密算法：

公鑰加密算法，又叫非對稱加密算法或雙鑰加密算法，是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。

公鑰加密算法使用了一對密鑰：一個用于加密信息，另一個則用于解密信息，其中加密密鑰公之于眾，稱為公鑰；解密密鑰由解密人私密保存，稱為私鑰。用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。

RSA密鑰對：

數字證書機制依賴于公共密鑰體制，PKI系統中應用最廣泛的公共密鑰體制為RSA加密系統。

RSA加密系統使用一個非對稱的RSA密鑰對，包括一個RSA公鑰和一個RSA私鑰。當實體申請數字證書時，證書請求中必須包含RSA公鑰信息。

RSA密鑰對的模數，即RSA密鑰的長度（單位bit）。模數越大，密鑰越安全，同時設備生成密鑰、加密、解密花費的時間也越長。

數字指紋：

數字指紋是指通過某種算法對數據信息進行綜合計算得到的一個固定長度的數字序列，這個序列有時也稱信息摘要，常采用單向哈希算法對原始數據進行散列計算得出數字指紋。

數字簽名：

數字簽名是指信息發送方用自己的私鑰對原始數據的數字指紋進行加密后所得的數據。

信息接收者使用信息發送者的公鑰對附在原始信息后的數字簽名進行解密后，獲得數字指紋，然后與自己用同樣算法對原始數據計算生成的數據指紋進行匹配，根據匹配結果，便可確定原始信息是否被篡改。

數字證書：

數字證書是一個經認證機構CA（Certificate Authority）簽名的，包含實體公開密鑰及相關身份信息的文件，它建立了實體身份信息與其公鑰的關聯，是使用PKI系統的用戶建立安全通信的信任基礎。CA對數字證書的簽名保證了證書的合法性和權威性。

數字證書中包含多個字段，包括證書簽發者的名稱、主體的公鑰信息、CA對證書的數字簽名、證書的有效期等。

認證機構CA（Certificate Authority）

CA是PKI的信任基礎，是一個用于簽發并管理數字證書的可信實體。

其作用（功能）包括：發放證書、規定證書的有效期和通過發布CRL確保必要時可以廢除證書。

認證機構CA的層次

認證機構是PKI體系的核心，通常采用多層次的分級結構，根據證書頒發機構的層次，可以劃分為根CA和從屬CA。

上級認證機構負責簽發和管理下級認證機構的證書，最下一級的認證機構直接面向用戶。

每一份數字證書都與上一級的數字簽名證書相關聯，最終通過證書鏈追溯到一個根認證機構，根CA通常持有一個自簽名證書。

在建立CA時，從屬CA要通過上級CA獲得自己的CA證書，而根CA則是創建自簽名的證書。

1、根CA是公鑰體系中第一個證書頒發機構，它是信任的起源。根CA可以為其它CA頒發證書，也可以為其它計算機、用戶、服務頒發證書。對大多數基于證書的應用程序來說，使用證書的認證都可以通過證書鏈追溯到根。

2、從屬CA必須從根CA或者從一個已由根CA授權可頒發從屬CA證書的從屬CA處獲取證書。

認證機構CA的類型

認證機構CA的類型，包括三種：

1、自簽名CA：在自簽名CA中，證書中的公鑰和用于驗證證書簽名的公鑰是相同的。

2、從屬CA：在從屬CA中，證書中的公鑰和用于驗證證書簽名的公鑰是不同的。

3、根CA：根CA是一種特殊的CA，它受到客戶無條件地信任，位于證書層次結構的最高層。所有證書鏈均終止于根CA。根CA必須對它自己的證書簽名，因為在證書層次結構中再也沒有更高的認證機構。

認證機構CA的功能

CA的核心功能就是發放和管理數字證書，包括：證書的頒發、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、CRL的發布等。

CA的核心功能，具體描述如下：

1、證書申請處理：接收、驗證用戶數字證書的申請。

2、證書審批處理：確定是否接受用戶數字證書的申請。

3、證書頒發處理：向申請者頒發或拒絕頒發數字證書。

4、證書更新處理：接收、處理用戶的數字證書更新請求。

5、證書查詢和撤銷處理：接收用戶數字證書的查詢、撤銷。

6、發布CRL：產生和發布證書廢除列表（CRL）。

7、證書的歸檔：數字證書的歸檔。

8、密鑰的備份和恢復。

9、歷史數據歸檔。

注冊機構RA（Registration Authority）

注冊機構RA的功能：

RA是數字證書注冊審批機構，RA是CA面對用戶的窗口，是CA的證書發放、管理功能的延伸，它負責接受用戶的證書注冊和撤銷申請，對用戶的身份信息進行審查，并決定是否向CA提交簽發或撤銷數字證書的申請。

RA作為CA功能的一部分，實際應用中，通常RA并不一定獨立存在，而是和CA合并在一起。RA也可以獨立出來，分擔CA的一部分功能，減輕CA的壓力，增強CA系統的安全性。

證書吊銷列表CRL

由于實體名稱的改變、私鑰泄漏或業務中止等原因，需要存在一種方法將現行的證書撤消，即撤消公開密鑰及相關的實體身份信息的綁定關系。在PKI中，所使用的這種方法為證書吊銷列表CRL（Certificate Revocation List）。

任何一個證書被廢除以后，CA就要發布CRL來聲明該證書是無效的，并列出所有被廢除（吊銷）的證書的序列號。CRL提供了一種檢驗證書有效性的方式。

當一個CRL的撤消信息過多時會導致CRL的發布規模變得非常龐大，且隨著CRL大小的增加，網絡資源的使用性能也會隨之下降。為了避免這種情況，允許一個CA的撤消信息通過多個CRL發布出來，并且使用CRL發布點CDP（CRL Distribution Point）來指出這些CRL的位置。

CRL發布點：

CRL發布點CDP，是數字證書中的信息，它描述了如何獲取證書的CRL列表。

最常用的CDP是HTTP URL和LDAP URL，也可以是其他類型的URL或LDAP目錄說明。一個CDP包含一個URL或目錄說明。

公鑰基礎設施PKI（Public Key Infrastructure），工作過程：

針對一個使用PKI的網絡，配置PKI的目的就是為指定的實體向CA申請一個本地證書，并由設備對證書的有效性進行驗證。

1、實體向注冊機構RA提出證書申請。

2、RA審核實體身份，將實體身份信息和公開密鑰以數字簽名的方式發送給CA。

3、CA驗證數字簽名，同意實體的申請，頒發證書。

4、RA接收CA返回的證書，通知實體證書發行成功。

5、實體獲取證書，利用該證書可以與其它實體使用加密、數字簽名進行安全通信。

6、實體希望撤消自己的證書時，向CA提交申請，CA批準實體撤消證書，并更新CRL。

公鑰基礎設施PKI（Public Key Infrastructure），工作原理：

PKI的目標就是要充分利用公鑰密碼學的理論基礎，建立起一種普遍適用的基礎設施，為各種網絡應用提供全面的安全服務。

對于公鑰加密算法，由于公鑰是公開的，需要在網上傳送，故公鑰的管理問題就是公鑰加密體制所需要解決的關鍵問題。

目前，PKI系統中引出的數字證書機制就是一個很好的解決方案。

PKI的核心技術就圍繞著數字證書的申請、頒發、使用與撤銷等整個生命周期進行展開。

證書的注冊

證書注冊，即證書申請，就是一個實體向CA自我介紹并獲取數字證書的過程。實體向CA提供身份信息，以及相應的公鑰，這些信息將成為頒發給該實體證書的主要組成部分。

實體向CA提出證書申請，有離線和在線兩種方式：

1、離線申請方式下，CA允許申請者通過帶外方式（如電話、磁盤、電子郵件等）向CA提供申請信息。

2、在線證書申請有手工發起和自動發起兩種方式。

證書的注冊方式（常用的方式）：

1、PKCS#10方式（離線注冊方式），當無法通過SCEP協議向CA在線申請證書時，可以使用PKCS#10格式打印出本地的證書申請信息。用戶以PKCS#10格式保存證書申請信息到文件中，并通過帶外方式發送給CA進行證書申請。

2、SCEP方式（在線注冊/下載方式），通過簡單證書注冊協議SCEP（Simple Certification Enrollment Protocol），利用HTTP協議與CA或RA通信，發送證書注冊請求或證書下載請求消息，下載CA/RA證書、本地證書，或者申請本地證書。SCEP方式是最常用的證書自動注冊方式。

3、自簽名證書，PKI設備為自己頒發一個自簽名證書，即證書簽發者和證書主題相同。

證書的更新

設備在證書即將過期前，先申請一個證書作為“影子證書”，在當前證書過期后，影子證書成為當前證書，完成證書更新功能。

申請“影子證書”的過程，實質上是一個新的證書注冊的過程。

證書更新功能需要CA服務器的支持，即CA服務器必須支持證書更新功能。

證書的下載

證書下載是指終端實體通過SCEP協議，向CA服務器查詢并下載已頒發的證書，或者通過CDP指定機制和地址，下載已頒發的證書。該證書可以是自己的證書，也可以是CA證書，或其他終端實體的證書。

證書的撤銷

由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業務中止等原因，用戶需要將自己的數字證書撤消，即撤消公鑰與用戶身份信息的綁定關系。

在PKI中，CA撤銷證書使用的方法為證書吊銷列表CRL，終端實體撤銷自己的證書是通過帶外方式申請的。

為了撤銷自己的證書，終端實體必須采用帶外方式通知CA服務器管理員。

管理員要求終端實體提供自己的Challenge Password（Challenge Password在證書注冊時已作為PKCS10證書請求的屬性發給了CA）。

如果終端實體提供的Challenge Password與CA服務器保存的一致，CA發布CRL來撤銷證書。

CRL的下載

CA/RA不會主動把CRL發布給終端實體，而是由終端實體主動發起CRL查詢。

有兩種下載CRL的方法：CDP方式、SCEP方式。

CA如果支持CDP，在為終端實體頒發證書時，把CRL發布點的URL地址編碼成CDP屬性封裝在證書中，終端實體根據CDP來下載CRL。

如果證書中未攜帶CDP信息，并且設備本地也沒有配置CDP的URL地址，則設備通過SCEP協議向CA服務器請求CRL。終端實體通過SCEP協議獲取證書時，以證書簽發者名字和證書序列號作為查詢關鍵字。

證書狀態檢查方式

當終端實體驗證對端證書時，經常需要檢查對端證書是否有效。對端證書是否過期、是否被加入證書黑名單中，即檢查證書的狀態。

通常終端實體檢查證書狀態的方式有三種：CRL方式、OCSP方式、None方式。

CRL方式：

如果CA支持CDP，那么當CA簽發證書時，在證書中會包含CDP信息，描述了獲取該證書CRL的途徑和方式。終端實體利用CDP中指定的機制和地址來定位和下載CRL。

如果PKI域下配置了CDP的URL地址，該地址將覆蓋證書中攜帶的CDP信息，終端實體使用配置的URL來獲取CRL。

在線證書狀態協議OCSP（Online Certificate Status Protocol）方式

如果CA不支持CDP，即證書中沒有指定CDP，并且PKI域下也沒有配置CRL的URL地址，終端實體可以使用OCSP協議檢查證書狀態。

None方式：

如果終端實體沒有可用的CRL和OCSP服務器，或者不需要檢查對端證書狀態，可以采用None方式，即不檢查證書是否被撤銷。

證書合法性驗證

終端實體獲取對端證書后，當需要對對端進行證書認證時，例如需要與對端建立安全隧道或安全連接，通常需要驗證對端證書和證書簽發者的合法性。如果證書簽發者的證書無效或過期，則由該CA簽發的所有證書都不再有效。但在CA證書過期前，設備會自動更新CA/RA證書，異常情況下才會出現CA證書過期現象。

為完成證書驗證，除了需要對端證書外，本地設備需要下面的信息：信任的CA證書、CRL、本端數字證書及其私鑰、證書認證相關配置信息。

證書驗證的主要過程如下：

使用CA證書的公鑰驗證認證機構的簽名是否正確。

根據證書的有效期，驗證證書是否過期。

檢查證書的狀態，即通過CRL、OCSP、None等方式檢查證書是否被撤銷。

證書鏈驗證

為驗證一個數字證書的合法性，首先需要獲得簽發這個證書的CA的公鑰（即獲得CA證書），以便檢查該證書上CA的簽名。一個CA可以讓另一個更高層次的CA來證明其數字證書的合法性，這樣順著證書鏈，驗證數字證書就變成了一個迭代過程，最終這個鏈必須在某個“信任點”（一般是持有自簽名證書的根CA或者是實體信任的中間CA）處結束。

所謂的證書鏈，是指從終端實體證書到根證書的一系列可信任證書構成的證書序列。任何終端實體，如果它們共享相同的根CA或子CA，并且已獲取CA證書，都可以驗證對端證書。一般情況下，當驗證對端證書鏈時，驗證過程在碰到第一個可信任的證書或CA機構時結束。

證書鏈的驗證過程是一個從目標證書（待驗證的實體證書）到信任點證書逐層驗證的過程。

關鍵詞： 數字證書