PKI体系架构

PKI体系架构
如图所示，一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。

终端实体EE（End Entity）
终端实体也称为PKI实体，它是PKI产品或服务的最终使用者，可以是个人、组织、设备（如路由器、防火墙）或计算机中运行的进程。
证书认证机构CA（Certificate Authority）
CA是PKI的信任基础，是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构，通常由服务器充当，例如Windows Server 2008。
如图所示，CA通常采用多层次的分级结构，根据证书颁发机构的层次，可以划分为根CA和从属CA。
根CA是公钥体系中第一个证书颁发机构，它是信任的起源。根CA可以为其它CA颁发证书，也可以为其它计算机、用户、服务颁发证书。对大多数基于证书的应用程序来说，使用证书的认证都可以通过证书链追溯到根CA。根CA通常持有一个自签名证书。
从属CA必须从上级CA处获取证书。上级CA可以是根CA或者是一个已由根CA授权可颁发从属CA证书的从属CA。上级CA负责签发和管理下级CA的证书，最下一级的CA直接面向用户。例如，CA2和CA3是从属CA，持有CA1发行的CA证书；CA4、CA5和CA6是从属CA，持有CA2发行的CA证书。
当某个PKI实体信任一个CA，则可以通过证书链来传递信任，证书链就是从用户的证书到根证书所经过的一系列证书的集合。当通信的PKI实体收到待验证的证书时，会沿着证书链依次验证其颁发者的合法性。
CA层次示意图

    CA的核心功能就是发放和管理数字证书，包括：证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL（Certificate Revocation List）的发布等。
    证书注册机构RA（Registration Authority）
RA是数字证书注册审批机构，RA是CA面对用户的窗口，是CA的证书发放、管理功能的延伸，它负责接受用户的证书注册和撤销申请，对用户的身份信息进行审查，并决定是否向CA提交签发或撤销数字证书的申请。
    RA作为CA功能的一部分，实际应用中，通常RA并不一定独立存在，而是和CA合并在一起。RA也可以独立出来，分担CA的一部分功能，减轻CA的压力，增强CA系统的安全性。
    证书/CRL存储库
    由于用户名称的改变、私钥泄露或业务中止等原因，需要存在一种方法将现行的证书吊销，即撤销公钥及相关的PKI实体身份信息的绑定关系。在PKI中，所使用的这种方法为证书废除列表CRL。
    任何一个证书被撤销以后，CA就要发布CRL来声明该证书是无效的，并列出所有被废除的证书的序列号。因此，CRL提供了一种检验证书有效性的方式。
    证书/CRL存储库用于对证书和CRL等信息进行存储和管理，并提供查询功能。构建证书/CRL存储库可以采用FTP（File Transfer Protocol）服务器、HTTP（Hypertext Transfer Protocol）服务器或者数据库等等。
PKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。
证书申请
证书申请即证书注册，就是一个PKI实体向CA自我介绍并获取证书的过程。通常情况下PKI实体会生成一对公私钥，公钥和自己的身份信息（包含在证书注册请求消息中）被发送给CA用来生成本地证书，私钥PKI实体自己保存用来数字签名和解密对端实体发送过来的密文。
PKI实体向CA申请本地证书有以下两种方式：
    在线申请
    PKI实体支持通过SCEP（Simple Certificate Enrollment Protocol）或CMPv2（Certificate Management Protocol version 2）协议向CA发送证书注册请求消息来申请本地证书。
    离线申请（PKCS#10方式）
    离线申请是指PKI实体使用PKCS#10格式打印出本地的证书注册请求消息并保存到文件中，然后通过带外方式（如Web、磁盘、电子邮件等）将文件发送给CA进行证书申请。
还有种方式，PKI实体可以为自己颁发一个自签名证书或本地证书，实现简单的证书颁发功能。
证书颁发
PKI实体向CA申请本地证书时，如果有RA，则先由RA审核PKI实体的身份信息，审核通过后，RA将申请信息发送给CA。CA再根据PKI实体的公钥和身份信息生成本地证书，并将本地证书信息发送给RA。如果没有RA，则直接由CA审核PKI实体身份信息。
证书存储
CA生成本地证书后，CA/RA会将本地证书发布到证书/CRL存储库中，为用户提供下载服务和目录浏览服务。
证书下载
PKI实体通过SCEP或CMPv2协议向CA服务器下载已颁发的证书，或者通过HTTP或者带外方式，下载已颁发的证书。该证书可以是自己的本地证书，也可以是CA/RA证书或者其他PKI实体的本地证书。
证书安装
PKI实体下载证书后，还需安装证书，即将证书导入到设备的内存中，否则证书不生效。该证书可以是自己的本地证书，也可以是CA/RA证书，或其他PKI实体的本地证书。
证书验证
PKI实体获取对端实体的证书后，当需要使用对端实体的证书时，例如与对端建立安全隧道或安全连接，通常需要验证对端实体的本地证书和CA的合法性（证书是否有效或者是否属于同一个CA颁发等）。如果证书颁发者的证书无效，则由该CA颁发的所有证书都不再有效。但在CA证书过期前，设备会自动更新CA证书，异常情况下才会出现CA证书过期现象。
PKI实体可以使用CRL或者OCSP（Online Certificate Status Protocol）方式检查证书是否有效。使用CRL方式时，PKI实体先查找本地内存的CRL，如果本地内存没有CRL，则需下载CRL并安装到本地内存中，如果证书在CRL中，表示此证书已被撤销。使用OCSP方式时，PKI实体向OCSP服务器发送一个对于证书状态信息的请求，OCSP服务器会回复一个“有效”（证书没有被撤销）、“过期”（证书已被撤销）或“未知”（OCSP服务器不能判断请求的证书状态）的响应。
证书更新
当证书过期、密钥泄露时，PKI实体必须更换证书，可以通过重新申请来达到更新的目的，也可以使用SCEP或CMPv2协议自动进行更新。
设备在证书即将过期前，先申请一个证书作为“影子证书”，在当前证书过期后，影子证书成为当前证书，完成证书更新功能。

申请“影子证书”的过程，实质上是一个新的证书注册的过程。
证书撤销
由于用户身份、用户信息或者用户公钥的改变、用户业务中止等原因，用户需要将自己的数字证书撤销，即撤销公钥与用户身份信息的绑定关系。在PKI中，CA主要采用CRL或OCSP协议撤销证书，而PKI实体撤销自己的证书是通过带外方式申请。

HTTP、HTTPS、SSL、TLS、CA证书、CSR（列表、list、全）HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html