pki技术理论及实现_pki技术_pki技术的原理与应用(3)

4.证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的。

PKI的应用非常广泛，包括在web服务器和浏览器之间的通讯、电子邮件、电子数据交换（EDI）、在Internet上的交易和虚拟私有网（VPN）等。

一 个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书；RA可作为CA的一部分，也可以独立，其功能包括个人 身份审核、CRL管理、密钥产生和密钥对备份等；PKI存储库包括LDAP目录服务器和普通，用于对用户申请、证书、密钥、CRL和日志等信息进行 存储和管理，并提供一定的查询功能。

3证书认证机构CA

3.1数字证书基础

数字证书是一种数字标识，可以说是Internet上的安全护照或明。当人们到其他国家旅行时，用户护照可以证实其身份，并被获准进入这个国家。数字证书提供的是网络上的明。

数 字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情 况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循ITUTX.509国际标准。

3.1.1证书格式

在Internet网络中，应用程序使用的证书都来自不同的厂商或组织，为了实现可交互性，要求证书能够被不同的系统识别，符合一定的格式，并实现标准化。X.509为证书及其CRL格式提供了一个标准。pki技术理论及实现但X.509本身不是Internet标准，而是国际电联ITU标准，它定义了一个开放的框架，并在一定的范围内可以进行扩展。

为了适应PKI技术的发展，IETF也必须制定在Internet上使用X.509和CRL的标准。PKIX工作组就提供了一个Internet草案"PartI:X.509CertificateandCRLProfile"（详细内容可见：ftp://ftp.ietf.org/internet-drafts/draft-ietf-pkix-ipki-part1-11.txt），用于定义在InternetPKI中使用X.509和CRL的方法和规范。该草案把X.509作为标准，并对各标准项和扩展做了说明，基本接收了X.509作为Internet中的证书标准，但也定义了被PKI应用的X.509V3和CRLV2标准格式的设置，这些设置包含了PKIX工作组对X.509所做的一些新的扩展。

X.509目前有三个版本：V1、V2和V3，其中V3是在V2的基础上加上扩展项后的版本，这些扩展包括由ISO文档（X.509-AM）定义的标准扩展，也包括由其他组织或团体定义或注册的扩展项。X.509由ITU-TX.509（前身为CCITTX.509）或ISO/IEC9594-8定义，最早以X.500目录建议的一部分发表于1988年，并作为V1版本的证书格式。X.500于1993年进行了修改，并在V1基础上增加了两个额外的域，用于支持目录存取控制，从而产生了V2版本。

为了适应新的需求ISO/IEC和ANSIX9发展了X.509V3版本证书格式，该版本证书通过增加标准扩展项对V1和V2证书进行了扩展。另外，根据实际需要，各个组织或团体也可以增加自己的私有扩展。

X.509V1和V2证书所包含的主要内容如下：

·证书版本号（Version）：版本号指明X.509证书的格式版本，现在的值可以为0、1、2，也为将来的版本进行了预定义。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22547-3.html