PKI的基本組成:
| 證書的申請者和持有者。既證書格式中的主體。 |
2 認證中心(CA)
CA 是證書的頒發機構,是PKI 的核心,職責是接收終端使用者的申請,決定是否為其頒發證書;處理證書的更新請求;處理證書的查詢請求;釋出CRL 等。
3 RA
協助CA 負責為已授權的證書申請者制作、發放和管理證書,在RA 存在的情況下,終端實體通過RA 提出證書申請,此時終端實體除了獲得CA 自簽名證書外,還要獲得由CA 頒發的RA 證書。
4 證書庫
證書庫是CA頒發證書和撤消證書的集中存放地。
SCEP,Simple Certificate Enrollment Protocol,簡單證書登記協定。 由Cisco公司開發,用于網絡裝置的證書登記協定,采用PKCS#10和PKCS#7來支援證書的請求和響應消息。SCEP支援CRL和網絡裝置作出的證書詢問,SCEP不是完整的證書管理協定,SCEP是為網絡裝置部署PKI的惟一可行的選擇。
SCEP 在申請證書前需要具備以下兩個前提條件:具有一對RSA 密鑰;已知CA 伺服器URL。SCEP 擁有的這對密鑰即是将來CA 頒發的伺服器證書中SubjectPublicKeyInfo域中要包含的内容,同時,SSL 在剩餘的建立連接配接過程中還要使用其中的密鑰資訊,是以密鑰的生成可以交由SSL 子產品完成,之後再将密鑰提供給SCEP 用來申請證書。因為SCEP 申請證書的過程用到了HTTP 消息,是以必須知道CA 伺服器的URL。
更正最下面那條線是多餘的
![Java 生成數字證書系列(一)了解數字證書序概要什麼是數字證書原理頒發工作原理數字簽名證書格式結束語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)