PKI
PKI(公钥基础设施)是一个集合体,由一系列的软件、硬件、组织、个体、法律和流程组成。
主要目的就是向客户端提供服务器身份认证。
认证的基础就是必须找到一个可信的第三方。
认证的技术方案就是数字签名技术。
第三方组织能够使用数字签名技术管理组织,包括创建、存储、更新、撤销证书。
PKI涉及的领域比较广泛,是一个相对松散的概念。
X.509
为了规范化PKI技术,出现很多标准,最常用的标准是X.509标准.
证书是PKI中最重要、最核心的内容。
通常,人们提到的证书也可以认为是X.509标准证书。
X.509有三个版本。
最常用的是V3版本。
V2版本修复了一些潜在问题;
V3引入了扩展,使证书更加规范。
pki组成.png
- 服务器实体:证书的申请者。比如www.example.com可以申请一张证书,证书可以证明他的身份,作用就和身份证、护照一样。
- CA机构:证书签发机构。在审核服务器的信息后,给其签发证书。证明使用CA机构的密钥对对服务启实体证书进行签名。
- OCSP:说明了证书的状态,比如是否吊销。他和CRL的作用基本一样。
OCSP比CRL更新,服务更好,能够更好的核实证书。但是一些旧的浏览器还不支持OCSP协议。
ASN.1和X.509
谈起证书,都会提到ASN.1。
ASN.1也是一种标准,用来结构化描述证书。
可以这样理解:
X.509规范了证书的内容,ASN.1类似于伪代码,用来描述X.509.
网友评论