PKI/CA基礎知識整理（二）

RA

RA:注冊中心，用于對使用者提供面對面的證書業務服務。

系統功能：

使用者資訊錄入；使用者資訊稽核；使用者證書下載下傳；
安全審計；安全管理；多級稽核；
           

RA具有并行處理的能力

CRL

CRL：證書撤銷清單，是最常用的證書撤銷機制。

CRL基本格式：被簽名的資訊内容、簽名算法、簽名結果。

釋出證書撤銷資訊過程：PKI系統中的CA将目前證書的撤銷辨別（通常是證書序列号）集中到一個清單中，向PKI所有使用者公布。

檢查證書撤銷狀态過程：1.驗證CRL本身的有效性；2.構造被撤銷證書的證書序列号清單。3.檢查證書是否已經被撤銷。

OCSP

OCSP:線上狀态協定，是最常用的線上查詢機制。

OCSP是簡單的“請求——響應”協定，查詢者向伺服器詢問某些特定證書的撤銷狀态，伺服器響應的消息可以是正常、被撤銷或者未知。

OCSP協定要求伺服器對響應消息進行數字簽名，在響應消息中加入目前時間，提供資料起源鑒别和資料完整性保護。
OCSP響應的僅僅是關于撤銷狀态，不檢查其他方面。例如OCSP伺服器不驗證證書是否已經過期等。
           

線上證書狀态查詢系統結構：

OCSP伺服器/證書狀态資料庫：接受請求，根據請求資訊中的證書序列号查詢證書狀态，查詢結果傳回給請求者；

密碼裝置：驗證請求資訊中的簽名，并對查詢結果進行簽名；

安全管理：OCSP伺服器的配置；啟動/停止查詢服務；

安全審計：查詢安全審計日志，進行統計與列印；

使用線上證書狀态查詢需要用戶端與OCSP伺服器保持實時的連接配接，證書中包含OCSP伺服器的位址，通過這個位址，可以使用線上證書狀态查詢服務

LDAP

LDAP：基于X.500标準的輕量級目錄通路協定。

目錄是一個為查詢、浏覽和搜尋而優化的資料庫，它成樹狀結構組織資料，類似檔案目錄一樣。

LDAP目錄服務是由目錄資料庫和一套通路協定組成的系統。

目錄樹概念

目錄樹：在一個目錄服務系統中，整個目錄資訊集可以表示為一個目錄資訊樹，樹中的每個節點是一個條目。

條目：每個條目就是一條記錄，每個條目有自己的唯一可差別的名稱（DN）。

對象類：與某個實體類型對應的一組屬性，對象類是可以繼承的，這樣父類的必須屬性也會被繼承下來。

屬性：描述條目的某個方面的資訊，一個屬性由一個屬性類型和一個或多個屬性值組成，屬性有必須屬性和非必須屬性。

基本模型

1).資訊模型 2).命名模型 3). 功能模型 4). 安全模型

雙證書體系

數字證書和簽名證書

簽名證書：用于簽名的證書，根據電子簽名法，由訂戶自己生成并專有控制。

加密證書：用于加密的私鑰，根據密碼管理規定，由專門的可信機構（KMC）生成并和使用者共同掌握，用于密鑰的恢複。

雙證書操作流程

簽名證書申請：

申請者生成密鑰對；
申請者将身份資訊和公鑰交給RA；
RA确認無誤後，CA簽發證書。
           

加密證書申請：

申請者将身份資訊交給RA，申請證書；
RA确認無誤後，RA或者CA從CMA獲得密鑰對；
CA簽發證書，并和私鑰一起交給申請者。
           

合并流程：

使用者和RA隻進行一次互動，KMC隻面向CA。

申請者生成簽名密鑰對；
申請者向RA提出證書申請，消息中包含簽名公鑰；
RA稽核申請人資訊，對簽名公鑰做POP檢查；
CA/RA向KMC請求加密密鑰對；
KMC配置設定密鑰，響應請求；
CA簽發兩張證書，和加密密鑰一起交給申請者。
           

TSL握手協定

四個階段

1.互相問候，協商密鑰交換算法和壓縮算法；

2.伺服器發言，根據既定的密鑰交換算法向用戶端提供資訊；

3.用戶端發言，根據既定的密鑰交換算法向服務的提供資訊；

4.雙方互相确認并結束握手過程；

用戶端服務端分别持有自己的證書互相進行身份驗證；