前言
公司是做信息安全业务的,电子认证服务的机构,最近正在做RA系统,领导刚刚我讲解了数字证书的相关知识。趁这段时间记忆还比较深刻,也对数字证书的理解做一个复盘。
基础概念
CA是什么?
CA也可以说是公钥的管理中心,为实现数字证书的安全性,对证书的生命周期进行管理,主要包括:
- 数字证书的签发和更新
- 数字证书的作废(注销,撤销或者吊销)
- 数字证书的冻结(挂失)和解冻
- 数字证书的查询或下载
- 数值证书的状态查询等
数字证书的备份
如果没有备份和恢复,当私钥丢失时,将导致公钥加密的数据无法解密为了解决私钥的备份和恢复问题,PKI引入了KMC,用于对私钥的全部生命周期进行管理,用户的公私钥由自己产生,在向CA中心申请数字证书时,将私钥安全提交给KMC留作备份
为了防止用户身份被冒用,应当保证数字证书的私钥的唯一性。私钥唯一后,当数字证书遗失,不能对证书进行备份恢复。
为了解决私钥的备份及恢复的问题,PKI引入了双证书机制,分别为签名证书和加密证书
- 签名证书的私钥只能用于签名验签,不能用于加解密,公私钥有用户自己产生,KMC不做备份
- 加密证书的私钥只能用作加解密,不能用于签名验签,公私钥由KNMC产生,且备份
为了保证CA证书的查询下载速度,PKI引入了LDAP技术,对外提供高速的查询或下载服务。LDAP为轻量目录访问协议。用户又该如何查询自身证书的状态呢?为了方便用户获取证书状态,PKI引入了CRL和OCSP技术。
- CRL:证书作废列表,也被称为证书黑名单
- OCSP:证书在线状态协议。
CA系统服务为了保证安全性,不会在公网开放,为了方便证书远程办理业务,方便对证书生命周期的管理,PKI引入了RA服务,也就是作者需要做的功能,专门对用户提供面对面的证书业务服务。
RA系统
RA业务主流程
RA系统是证书认证系统的组成部分,主要负责处理和用户直接交涉的用户及证书相关的管理业务。RA系统采用B/S结构,由RA服务器和RA操作终端(浏览器)构成。使用人员通过操作终端访问本系统,执行相关操作。
分为两大部分 RA系统服务和用户自助服务
主要功能有
| 客户端证书管理 | 用户自助平台 |
| 证书申请 | 自助平台主页 |
| 证书查询 | 证书申请 |
| 证书更新 | 证书查询 |
| 证书变更 | 下载证书 |
| 证书补办 | 证书解锁 |
| 证书下载 | 更新证书 |
| 证书注销 | 安装 CA 证书链 |
| 证书冻结 | 下载证书吊销列表(CRL) |
| 证书解冻 | 证书补办 |
| 授权码更新 | |
| 同步证书状态 |
结尾
暂时先整理这些,有兴趣的小伙伴们可以去了解下证书相关业务,RA服务的具体功能还未开发完成,等工作完成后,再继续整理RA或CA数字证书的知识,也是对自己做个总结。
