第3章节第4章节—pki导论pki体系与功能.pptVIP

2.3.3.1产生、验证和分发密钥。 2.3.3.2签名和验证。 2.3.3.3证书的获取。 2.3.3.4验证证书。 2.3.3.5保存证书。 2.3.3.6本地保存的证书的获取 2.3.3PKI的功能操作 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 第四次课 2.3.3.7证书废止的申请 2.3.3.8密钥的恢复． 2.3.3.9CRL的获取。 2.3.3.10密钥更新。 2.3.3.11审计。 2.3.3.12存档（证书及废止证书） 2.3.3PKI的功能操作 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1.用户自己产生密钥对 2.CA为用户产生密钥对 3.CA(包括PAA，PCA，CA)自己产生自己的密钥对 2.3.3.1产生、验证和分发密钥 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 用户自己选取产生密钥方法，负责私钥的存放 用户还应该向CA提交自己的公钥和身份证明，CA对用户进行身份认证，对密钥的强度和持有者进行审查。 在审查通过的情况下，对用户的公钥产生证书 然后通过面对面、信件或电子方式将证书安全地发放给用户； 最后CA负责将证书发布到相应的目录服务器。 在某些情况下，用户自己产生了密钥对后到ORA(在线证书审查机构)去进行证书申请。 1．用户自己产生密钥对 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 这种情况用户应到CA中心产生并获得密钥对 产生之后，CA中心应自动销毁本地的用户密钥对拷贝； 用户取得密钥对后，保存好自己的私钥 将公钥送至CA或ORA，接着按上述方式申请证书。 2．CA为用户产生密钥对 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. PCA的公钥证书由PAA签发，并得到PAA的公钥证书。 CA的公钥由上级PCA签发，并取得上级PCA的公钥证书； 当它签发下级(用户或ORA)证书时，向下级发送上级PCA及PAA的公钥证书。 3．CA自己产生自己的密钥对 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 在PKI体系中，对信息和文件的签名，以及对数字签名的认证是很普遍的操作。 PKI成员对数字签名和认证是采用多种算法的。 如RSA，DES等，这些算法可以由硬件软件或硬软结合的加密模块(硬件)来完成。 密钥和证书存放的介质可以存放在内存、IC卡、光盘或软盘中。 2.3.3.2签名和验证 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 在验证信息的数字签名时，用户必须事先获取信息发送者的公钥证书，以对信息验证，同时还需要CA对发送者所发的证书进行验证，以确定发送者身份的有效性。 发送者发送签名信息时，附加发送自己的证书。 单独发送证书信息的通道。 可从访问发布证书的目录服务器获得。 或者从证书的相关实体(为RA)处获得。 2.3.3.3证书的获取 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA的证书。 在使用每一个证书前，必须检查相应的CRL(对用户来说，这种在