教学材料《网络安全》_第八章.pptVIP

图8-10返回图8-11返回图8-12返回图8-13返回图8-14返回表8-1返回表8-2返回8.3证书生命周期数字证书不应该永远有效。当员工离开、安装新硬件或升级应用程序后，密码术标准也应该相应改进，而每个改变都会影响数字证书的有用性。证书的生命周期基本分为以下4部分:证书创建在本阶段，证书建立并发送给用户。数字证书生成前，用户必须主动确认。因证书种类和现有的安全政策，用户身份确认的程度会有所不同。例如，邮件数字证书可能仅需要用户发送封邮件，而财务系统交易数字证书就可能需要更多的信息。一旦用户身份被确认，就会向CA发出数字证书请求，然后CA在证书上应用适当的密钥。而且CA要升级相关的领域，证书到达RA(如果存在)。CA还可以保存一份证书的拷贝件。证书一旦颁发，即可发布在公共目录上。下一页返回8.3证书生命周期证书吊销在本阶段，证书不再合法。CRL是提供安全性和PKI完整性的重要部分。在某些情况下，证书可能会在作废前被吊销，如用户私有密钥丢失或被盗。当数字证书吊销，CA会升级内部记录，任何CRL需要的证书信息和时间终止(被吊销的证书在CRL中有证书序列号)。CA标记CRL，并把其放在公共数据库中，这样其他使用证书的应用程序就可以访问了。上一页下一页返回8.3证书生命周期证书作废在本阶段，证书