[网络/HTTPS/Java] PKI公钥基础设施体系：基础概念篇

0 序

• 看过上一篇文章、且有点懵的朋友，可以参看本篇————针对PKI体系的核心概念进行解释。

• [网络/HTTPS/Java] PKI公钥基础设施体系：数字证书(X.509)、CA机构 | 含：证书管理工具(jdk keytool / openssl) - 博客园/千千寰宇

1 PKI体系(公开密钥基础设施体系)

1.1 PKI体系是什么？

• PKI 是 Public Key Infrastructure 的缩写，中文叫做公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。

• PKI 的主要功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发【数字证书】），为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径，并利用数字证书及相关的各种服务（证书发布，黑名单发布，时间戳服务等）实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。

• PKI 既不是一个协议，也不是一个软件，它是一个标准，在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。

• 百度百科的PKI定义:

PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台；目的是为了管理密钥和证书。
一个机构通过采用 PKI 框架管理密钥和证书可以建立一个安全的网络环境。
PKI 主要包括四个部分：

• X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；
• CA 操作协议；
• CA 管理协议；
• CA 政策制定

• CA中心机构——CA系统——数字证书

• CA 中心机构：管理并运营 CA 系统

负责管理并运营 CA 系统的机构称为 CA 中心机构

• CA 系统：负责颁发数字证书

• 专门负责颁发数字证书的系统称为 CA 系统

• 所有与数字证书相关的各种概念和技术，统称为 PKI（Public Key Infrastructure）。

PKI 的本质是把非对称密钥管理进行标准化。

• 数字证书：解决公钥与用户映射关系问题；
• CA：解决数字证书签发问题；
• KMC：解决私钥的备份与恢复问题；
• 双证书机制：「签名证书及私钥」只用于签名验签，「加密证书及私钥」只用于加密解密。
• LDAP：解决数字证书查询和下载的性能问题，避免 CA 中心成为性能瓶颈。
• CRL（证书作废列表） 和 OSCP（在线证书状态协议）：方便用户快速获得证书状态。
• RA：方便证书业务远程办理、方便证书管理流程与应用系统结合。
• 电子认证服务机构：保证 CA 系统在数字证书管理方面的规范性、合规性和安全性。

1.2 PKI 基本组件

• 完整的 PKI 系统必须具有数字证书、v认证中心（CA）、证书库、证书吊销系统、密钥备份及恢复系统、PKI 应用接口系统**等构成部分。

组件	描述
数字证书	包含了用于签名和加密数据的公钥的电子凭证，是PKI的核心元素
认证中心（CA）	数字证书的申请及签发机关，CA必须具备权威性
证书资料库	存储已签发的数字证书和公钥，以及相关证书目录，用户可由此获得所需的其他用户的证书及公钥
证书吊销列表（CRL）/OCSP	在有效期内吊销的证书列表，在线证书状态协议OCSP是获得证书状态的国际协议
密钥备份及恢复	为避免因用户丢失解密密钥而无法解密合法数据的情况，PKI提供备份与恢复密钥的机制。必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥不能够作备份
PKI应用接口（API）	为各种各样的应用提供安全、一致、 可信的方式与PKI交互，确保建立起来的网络环境安全可靠，并降低管理成本

1.3 数字证书分类

X 参考文献

• 什么是PKI 体系（数字证书种类） - CSDN
• PKI 体系概述 - 简书
• PKI体系简介