PKI(公钥基础设施)之证书的信任链(数字证书链)
证书链是一个有序的证书列表,包含SSL证书和证书颁发机构(CA)证书,使接收方能够验证发送方和所有CA是否值得信任。链或路径以SSL证书开头,链中的每个证书都由链中下一个证书标识的实体签名。
链终止于根CA证书。必须验证链中所有证书的签名,直至根CA证书。根CA证书始终由CA本身签名。
下图说明了从证书所有者到根CA的证书路径
上图从下往上介绍依次有
根证书(Root Certificate)的签名(Root CA’s signature)是用根私钥(Root CA‘s private key)签的。所以验证根证书签名(Root CA’s signature)要用根公钥(Root CA’s public key)才能验证通过。这种情况就叫做自签名(self-sign)。
中介证书(Intermediate Certificate)里面包含了根证书的名称(Issuer’s /root CA’s name)。中介证书里面的签名(Issuer’s signature)是用根私钥(Root CA‘s private key)签的,所以需要根公钥(Root CA’s public key)才能验证通过。
终端实体证书(End-entity Certificate)里面包含了中介证书的名称(Issuer’s / CA’s name)。终端实体证书里面的签名(Issuer’s signature)是用中介私钥(Owner‘s private key)签的,所以需要中介公钥(Owner’s public key)才能验证通过。
常见有四种类型用于使用PKI实现信任模型。
分层模型或树模型是实现PKI的最常见模型。顶部的根CA提供所有信息,中间CA在层次结构中是下一个,并且它们仅信任根提供的信息。根CA还信任层次结构中其级别的中间CA.
这种安排允许在分层树的所有级别进行高级别的控制,这可能是希望扩展其证书处理能力的大型组织中最常见的实现。分层模型允许严格控制基于证书的活动。
在桥接信任模型中,我们在Root CA之间有许多P2P关系,根CA之间可以相互通信并允许交叉证书。该实施模型允许在组织(或部门)之间建立认证过程。
在此模型中,每个中间CA仅信任其上方和下方的CA,但可以扩展CA结构,而无需创建其他CA层。组织之间的额外灵活性和互操作性是桥模型的主要优势。
有时您需要在某个部分链接两个或更多组织或部门,并将其他部分分开。当您需要信任两个组织的某些部分,但您不希望在组织的其他部分中建立信任。在这些时候,混合信任模型可以是最适合您的模型。构建混合信任结构时,您可以非常灵活,此模型的灵活性还允许您去创建混合环境。
请注意,在此结构中,混合环境之外的中间CA只能信任混合环境中的根CA和中间CA,信任连接到混合环境中任何中间CA所有的根CA.
当您想要实现具有交叉认证检查的分层信任模型或根CA的网络时,网格信任模型是您的最佳选择。在其他景点中,网格模型使用多路径和多根CA迁移桥结构的概念。
每个根CA中的认证都在所有Root CA,中间CA和叶CA以及连接到每个CA链的所有最终用户中获得授权。
PKI Trust Models( https://pdfs.semanticscholar.org/6ec1/d42d93b734548555110f2e0afa321533b8ba.pdf )
Trust Models and Management in Public-Key Infrastructures( ftp://ftp.rsasecurity.com/pub/pdfs/PKIPaper.pdf )
~
公钥基础设施的核心部分
答:在具体实施时,CA 的必须做到以下几点:1) 验证并标识证书申请者的身份。2) 确保CA 用于签名证书的非对称密钥的质量。3) 确保整个签证过程的安全性,确保签名私钥的安全性。4) 证书资料信息(包括公钥证书序列号,CA 标识等)的管理。5) 确定并检查证书的有效期限。6) 确保证书主体标识的唯一性...
一文带你读懂公钥,私钥,证书是什么,来历,作用,用途
答:教育听我说##程序员##我要上头条##自媒体#公钥,私钥,证书是什么?离我们有多远呢?或许你没有听说过,但是其实无时无刻你都在使用,即使你看这篇文章的时候你就在使用。是的,只要我们访问网络,无时无刻就在使用,访问网络过程中数据的安全传输正是依赖的HTTPS,HTTPS的基础是SSL,而SSL主要就是...
CA系统的安全机制是如何实现的?
答:CA系统(Certificate Authority System,证书颁发机构系统)是一种基于公钥基础设施(PKI)的安全机制,主要用于保护网络通信和数据传输的安全性。它通过数字证书来验证通信双方的身份,并保护数据的机密性和完整性。CA系统的安全机制实现包括以下几个步骤:用户向CA请求数字证书,同时提供其公钥。CA对用户的身...
公钥证书的证书使用
答:当两个实体(例如设备、个人、应用程序或服务)试图建立身份和信任时,如果两个实体都信任相同的证书颁发机构,就能够在它们之间实现身份和信任的结合。一旦证书主题已呈现由受信任的 CA 所颁发的证书,那么,通过将证书主题的证书存储在它自己的证书存储区中,并且(如果适用)使用包含在证书中的公钥来加密...
ca证书是什么东西
答:CA是证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。如果用户想...
公钥证书的证书
答:证书还可以从一个证书颁发机构(CA) 颁发给另一个证书颁发机构,以便创建证书层次结构。接收证书的实体是证书的“主题”。证书的颁发者和签名者是证书颁发机构。通常,证书包含以下信息:主体的公钥值主体标识符信息(如名称和电子邮件地址)有效期(证书的有效时间)颁发者标识符信息颁发者的数字签名,用来...
公钥基础设施的安全问题
答:为解决这些Internet 的安全问题,世界各国对其进行了多年的研究,初步形成了一套完 整的Internet 安全解决方案,即目前被广泛采用的PKI 技术(Public Key Infrastructure-公钥基 础设施),PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构--认证中 心CA(Certificate Authority),把用户的...
什么是公钥证书
答:所谓的公钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。ssh 的公钥认证就是使用了这一特性。服务器和客户...
公开密钥基础设施由哪些部分组成
答:PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议...
公开密匙基础设施PKI的组成和基本功能是什么?
答:PKI是一种新的安全技术,是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。它是利用公钥理论和技术建立的提供信息安全服务的基础设施。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。一个典型、完整、有效的PKI应用系统至少应具有以下部分:1.认证机构CA(Certificate Authority)CA...
