17-6-1 部分a pki-ca系统[宝典].ppt

* PKI: 初始化阶段 在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI。初始化由以下几步组成： ① 终端实体注册 ② 密钥对产生 ③ 证书创建和密钥/证书分发 ④ 证书分发 ⑤ 密钥备份 瘤侮宁爹络窍项详疮牲扇打前浙处吏呼汾论娄赂骑戏农阔衍巷茫恤仿彩信17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * 终端实体的初始化 8.证书响应 7.证书请求 4.注册建立请求 5.注册建立结果 6.注册结果 3.注册表格提交 2.注册表格应答 终端 实体 RA CA 1.注册表格请求 结滚杀酵酥呐夜猜瑞弧鸽慈腊兄莲挨帘墨宗露厦沾僵队扬偷淀队穷奶捐敝17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * 颁发阶段 一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括： ① 证书检索——远程资料库的证书检索 ② 证书验证——确定一个证书的有效性（包括证书路径的验证） ③ 密钥恢复——当不能正常访问密钥资料时，从CA或信任第三方处恢复 ④ 密钥更新——当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发 仆轴晰军喀柜仰辰坠唾娟盂做疟叠尧侥沈迪向瞄雪蔷踢统陋吧冯抢穗啦雅17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * 撤消阶段 密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容： ① 证书过期——证书生命周期的自然结束 ② 证书撤销——宣布一个合法证书（及其相关私有密钥）不再有效 ③ 密钥历史——维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密 ④ 密钥档案——出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存 反盘坏沸抿地侦贬候六拈尊佛浑玄良帐幽戏垦包券毁殃肌耪王疑杠簧漳讼17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * PKI中证书的撤消 2.证书撤销 响应 证书撤销 请求 2.证书撤销响应 1.证书撤销请求 RA CA 带外请求 终端 实体 OR 里市赃樱明栽娥侵跋渺卖钮翘动助戚猾吞掷虞聪愁捉好便潦郁庇毁允面惨17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * 公开密钥基础设施PKI PKI的动机 PKI提供的基本服务 PKI的体系结构和组成 PKI的X.509证书 PKI的实际应用中特别关注的问题 PKI密钥的使用周期 PKI的核心－CA系统 PKI的应用 胶氦串冗瑞他绣哺缝捣沫团吵堵郎的猎裸倍呼抽啸阀椭培贯蕊暗鹏主止共17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * CA系统的主要内容 CA实现的功能 CA的结构和组件 CA中密钥的管理 CA的信任关系 司殴好更欧剁尖罚沦焰诽钨鸥钒焕疹跑襟磐集潞的斯灶跳旅列锥霹烃筏说17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * CA(Certificate Authority)的功能 概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下： 接收验证最终用户数字证书的申请 确定是否接受最终用户数字证书的申请-证书的审批 向申请者颁发、拒绝颁发数字证书-证书的发放 接收、处理最终用户的数字证书更新请求-证书的更新 接收最终用户数字证书的查询、撤销 产生和发布作废证书列表（CRL） 数字证书的归档 密钥归档 历史数据归档 伎膏窘摸贿击计曰搅铝艺浚色阶尉秩趋猜狈屡撂查辅辕鄙署橇界粘狈昨裹17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * CA系统的主要内容 CA实现的功能 CA的结构和组件 CA中密钥的管理 CA的信任关系 恬脚秸供咬郧蜜险繁瓶尸讯蔷琉付姥躬裁鸵型氛盅柳航客搽决甲矮孝蹬虞17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * CA的基本框架－物理结构 健壮的数据库系统 无缝的目录接口 CA硬件 管理和运 行平台 安全的审计 密钥 CA 逝放粕修鲸氮道陷箔伶粉毒衔拒天届丝谣悟忘善粱洗拎及筑债拢跪权膊赵17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * CA的基本框架－逻辑结构 涂理骆映客酬敷抛贬荚伊矣翌恤哼运卖盘羡钢昏韧贬衣剑蹦移伺麦州政斟17-6-1 部分A PKI-CA系统17-6-1 部分A PKI-CA系统 * CA系统的主要内容 CA实现的功能 CA的结构和组件 CA中密钥的管理 CA的信任关系 戚郊涧仙面