复盘篇:数字证书知识复盘

简介: 如果没有备份和恢复,当私钥丢失时,将导致公钥加密的数据无法解密为了解决私钥的备份和恢复问题,PKI引入了KMC,用于对私钥的全部生命周期进行管理,用户的公私钥由自己产生,在向CA中心申请数字证书时,将私钥安全提交给KMC留作备份

前言

公司是做信息安全业务的,电子认证服务的机构,最近正在做RA系统,领导刚刚我讲解了数字证书的相关知识。趁这段时间记忆还比较深刻,也对数字证书的理解做一个复盘。

基础概念

CA是什么?

CA也可以说是公钥的管理中心,为实现数字证书的安全性,对证书的生命周期进行管理,主要包括:

  • 数字证书的签发和更新
  • 数字证书的作废(注销,撤销或者吊销)
  • 数字证书的冻结(挂失)和解冻
  • 数字证书的查询或下载
  • 数值证书的状态查询等

数字证书的备份

如果没有备份和恢复,当私钥丢失时,将导致公钥加密的数据无法解密为了解决私钥的备份和恢复问题,PKI引入了KMC,用于对私钥的全部生命周期进行管理,用户的公私钥由自己产生,在向CA中心申请数字证书时,将私钥安全提交给KMC留作备份

为了防止用户身份被冒用,应当保证数字证书的私钥的唯一性。私钥唯一后,当数字证书遗失,不能对证书进行备份恢复。

为了解决私钥的备份及恢复的问题,PKI引入了双证书机制,分别为签名证书和加密证书

  • 签名证书的私钥只能用于签名验签,不能用于加解密,公私钥有用户自己产生,KMC不做备份
  • 加密证书的私钥只能用作加解密,不能用于签名验签,公私钥由KNMC产生,且备份

为了保证CA证书的查询下载速度,PKI引入了LDAP技术,对外提供高速的查询或下载服务。LDAP为轻量目录访问协议。用户又该如何查询自身证书的状态呢?为了方便用户获取证书状态,PKI引入了CRL和OCSP技术。

  • CRL:证书作废列表,也被称为证书黑名单
  • OCSP:证书在线状态协议。

CA系统服务为了保证安全性,不会在公网开放,为了方便证书远程办理业务,方便对证书生命周期的管理,PKI引入了RA服务,也就是作者需要做的功能,专门对用户提供面对面的证书业务服务。

RA系统

RA业务主流程

RA系统是证书认证系统的组成部分,主要负责处理和用户直接交涉的用户及证书相关的管理业务。RA系统采用B/S结构,由RA服务器和RA操作终端(浏览器)构成。使用人员通过操作终端访问本系统,执行相关操作。

image-20220314200605050

分为两大部分 RA系统服务和用户自助服务

主要功能有

客户端证书管理 用户自助平台
证书申请 自助平台主页
证书查询 证书申请
证书更新 证书查询
证书变更 下载证书
证书补办 证书解锁
证书下载 更新证书
证书注销 安装 CA 证书链
证书冻结 下载证书吊销列表(CRL)
证书解冻 证书补办
授权码更新
同步证书状态

结尾

暂时先整理这些,有兴趣的小伙伴们可以去了解下证书相关业务,RA服务的具体功能还未开发完成,等工作完成后,再继续整理RA或CA数字证书的知识,也是对自己做个总结。


相关文章
|
6月前
|
运维 监控 安全
|
6月前
|
监控 架构师 算法
|
6月前
|
测试技术
现网问题复盘
现网问题复盘
|
前端开发 C++
浅谈复盘的道法术器
人的经历太有限了,如果凡事都要自己经历过才能有所领悟,这样的效率太低。丹麦一位哲学家克尔凯郭尔曾说过:人生需要回望才能理解。对于一个组织、一家企业也是如此。复盘是我们突破经历限制,从过往挖掘提升的一个有效方式。因工作契机,前段时间对复盘进行了系统性的研究和升级。期间查阅了大量资料、书籍,也和一些专家做了交流,总结道法术器4个层面的关键点,希望对你有所帮助。1、你是不是也遇到过这类问题?实际复盘的效
326 0
浅谈复盘的道法术器
|
缓存 JavaScript 程序员
786.【复盘】每周复盘-第十四周
786.【复盘】每周复盘-第十四周
|
关系型数据库 MySQL 中间件
|
信息无障碍
每个人都要会的复盘知识
复盘本来是围棋术语。指的是在对弈之后,棋手们会重演一遍对局,从中发现自己的错误,理解对手的思路,研究更为妥善的走法。很多围棋高手都把复盘当做棋艺精进的重要法门。后来柳传志先生把复盘引入了管理领域。
190 0
每个人都要会的复盘知识
|
存储 前端开发 JavaScript
唯爱婚恋网站|项目复盘
首先这个项目是我大四上做的一个项目。当初立项开始选的咖啡线上购买的网站,由于受到老师批评说功能太简单!!!不得已带领着小部队重新选型,从确定开始到最后项目答辩过程,全程都是我们自己在不断学习,不断完善的。由于我们没有一定的设计能力,我们便基于彼爱网站进行婚恋网站的改造。
219 0
第一期:复盘 回顾总结
第一期:复盘 回顾总结
120 0