【正文】 ? 一個證書成功的發(fā)放包括的步驟為： 1. 用戶申請； 2. 登記中心同意申請； 3. CA發(fā)行證書； 4. 登記中心轉(zhuǎn)發(fā)證書； 5. 用戶獲取數(shù)字證書。 ? 4. 證書延期：當證書到達為它設(shè)置的到期日時，其用戶可能需要（自動地，根據(jù)應(yīng)用程序的配置）延期該證書。 ? 3. 證書撤銷：當發(fā)出證書時，將根據(jù)分發(fā)策略為它們配置特定的到期日。然后， CA把用戶的公鑰發(fā)送到指定的任何資源庫（內(nèi)部的目錄或公用服務(wù)器），并使用該公鑰把識別證書發(fā)送給用戶。）這是用戶（實際是指用戶支持 PKI的應(yīng)用程序，如 Web瀏覽器）和 CA之間的合作過程，該過程從用戶生成密鑰對（公鑰和私鑰）時開始。當沒有上級認證中心時，應(yīng)生成用認證中心自身的私鑰簽名的證書。 ? 重新頒發(fā)屬主證書。認證中心還應(yīng)采取下列措施： ? （ 1）公布認證中心暫時停止接受申請者認證請求的事實。認證中心的密鑰有效期應(yīng)按照政策要求指定。密鑰存檔后，它們應(yīng)被保護起來以防止攻擊。備份所要求的安全程度必須高于或等于貯存時的要求。 ? 把密碼模塊連接到證書頒發(fā)系統(tǒng)，或開啟密碼模塊中的密鑰，操作過程應(yīng)在雙重控制下完成。如果密鑰貯存在密碼模塊中，它們應(yīng)在雙重控制下貯存以便密碼模塊在所有授權(quán)人在場的情況下才可訪問。最好由來自不同權(quán)威機構(gòu)的人員進行雙重控制。這一要求適合于所有用于證書和撤銷單的簽名和加密對稱密鑰的密鑰對，以及加密重要機密信息和加密用于產(chǎn)生密鑰的秘密參數(shù)的對稱密鑰。操作員的人數(shù)可以根據(jù)實際情況而定。操作員的數(shù)字證書需要轉(zhuǎn)化成 .p12的格式，通過硬拷貝的方式嵌入到登記中心操作員的瀏覽器中。 ? 1. 用戶 ? 用戶使用瀏覽器訪問安全服務(wù)器，申請數(shù)字證書，之后到登記中心注冊，出示有效證件。有可能某些事件導(dǎo)致有需要在到期日之前預(yù)先撤銷此證書，有基于此， CA可以在任何時間撤銷證書并移除對此證書的信任關(guān)系。 2. 使用者沒有辦法提供單一的驗證路徑而讓所有的使用者驗證。 2. 使用者需要相信替自己簽發(fā)證書的 CA，比需要相信 Root CA要合理些。和階層式架構(gòu)不同的是，網(wǎng)絡(luò)式架構(gòu)中的使用者并不共同相信某個CA(如 Root CA的角色 )的公鑰，而是相信替自己簽發(fā)證書的 CA。 2. 許多商業(yè)用途并不需要如此嚴謹?shù)募軜?gòu)。 134 52RootC e r ti fi c ati o n A u th o r i tyC e r ti fi c ate U s e rI s s u e C e r ti fi c ate? 階層式架構(gòu)的優(yōu)點為： 1. 其結(jié)構(gòu)與許多組織單位的結(jié)構(gòu)相仿，規(guī)劃相當容易。每個 CA除了 Root 外都有一張經(jīng)由直屬上層 CA所簽署的證書，而 Root CA則自行簽署證書。發(fā)放的數(shù)字證書可以存放于 IC卡、硬盤或軟盤等介質(zhì)中。 ? 認證中心為了實現(xiàn)其功能，主要由以下三部分組成： ? 注冊服務(wù)器：通過 Web Server 建立的站點，可為客戶提供每日 24小時的服務(wù)。 ? （ 6）產(chǎn)生和發(fā)布證書廢止列表（ CRL）。 ? （ 2）確定是否接受最終用戶數(shù)字證書的申請 證書的審批。同樣 CA允許管理員撤銷發(fā)放的數(shù)字證書，在證書廢止列表 (CRL)中添加新項并周期性地發(fā)布這一數(shù)字簽名的CRL。它將實體的公開密鑰同實體本身聯(lián)系在一起，為實現(xiàn)這一目的，必須使數(shù)字證書符合 準，同時數(shù)字證書的來源必須是可靠的。 PKI策略 ? PKI安全策略建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。 CRL上列出了近期內(nèi)注銷的證書，由 CA定期置放在 DS上。證書的密鑰有兩種用途，一是用于簽名，一是用于加密。 ? 2. 注銷證書 ? 使用者的密鑰對在到期之前便已經(jīng)不安全，比如密鑰遺失或遭到破解，這時必須立刻到 CA注銷舊有的證書，而且注銷證書的消息必須很快的在 PKI中傳播開來，讓 PKI的所有成員通通知道，這樣可以避免 A的私鑰被人盜用以后， B還是拿舊的證書來驗證，讓盜用者偽冒成功。 ? 1. 簽發(fā)證書 ? 使用者自行產(chǎn)生密鑰對 (Publicprivate Key Pair)后，便可向 CA申請簽發(fā)證書。 ? 5. 目錄服務(wù)器 (Directory Server) ? 目錄服務(wù)器負責提供外界目錄檢索、查詢服務(wù)，包括：證書及證書注銷清單之公布或注銷訊息，新版、舊版證書實作準則之查詢及證書相關(guān)軟件下載等服務(wù)。通過交互證書對的建立，可以延伸信賴關(guān)系，讓兩個 CA所簽發(fā)的證書彼此信賴。 ? 1. 政策審定單位 (Policy Approving Authority， PAA) ? PAA負責審核 CA和 RA的經(jīng)營原則，和安全政策。目錄服務(wù)器可以是一個組織中現(xiàn)存的，也可以是 PKI方案中提供的。當實現(xiàn) PKI系統(tǒng)的時候，一個組織可以運行自己的 CA系統(tǒng)，也可以使用一個商業(yè) CA或是可信第三方的 CA系統(tǒng)。這是一個包含如何在實踐中增強和支持安全策略的一些操作過程的詳細文檔。 PKI至少應(yīng)該包括以下幾部分，如圖 41所示。 PKI提供的完整性是可以通過第三方仲裁的，而這種可以由第三方進行仲裁的完整性是通信雙方都不可否認的。 PKI通過良好的密鑰恢復(fù)能力，提供可信的、可管理的密鑰恢復(fù)機制。 ? （ 2）機密性 ? 通過加密證書，通信雙方可以協(xié)商一個秘密，而這個秘密可以作為通信加密的密鑰。 ? （ 1）身份認證 ? 隨著網(wǎng)絡(luò)的擴大和用戶的增加，事前協(xié)商秘密會變得非常復(fù)雜，特別是在電子政務(wù)中，經(jīng)常會有新聘用和退休的情況。下面是 PKI的定義： ? PKI是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施； ? PKI是一個為綜合數(shù)字信息系統(tǒng)提供廣泛需要的加密和數(shù)字簽名服務(wù)的基礎(chǔ)設(shè)施，它的主要職責是管理密鑰和證書。 PKI的部件主要包括簽發(fā)這些證書的證書機構(gòu)(Certificate Authority ， CA)，登記這些證書的注冊機構(gòu) (Register, Authority，RA)，存儲和發(fā)布這些證書的電子目錄，以及用戶終端系統(tǒng)。 PKI中最基礎(chǔ)的元素就是數(shù)字證書，所有安全的操作主要通過證書來實現(xiàn)。許多這樣的基本部件和元素有機地結(jié)合在一起就構(gòu)成了 PKI。 ? PKI的主要功能是提供身份認證、機密性、完整性和不可否認服務(wù)。在這里，證書是一個可信的第三方證明，通過它，通信雙方可以安全地進行互相認證而不用擔心對方會假冒自己。當政府的個別職員背叛或利用加密系統(tǒng)進行反政府活動時，政府可以通過法定的手續(xù)解密其通信內(nèi)容，保護政府的合法權(quán)益。一般來說，完整性也可以通過雙方協(xié)商一個秘密來解決，但一方有意抵賴時，這種完整性就無法接受第三方的仲裁。 PKI基于數(shù)字 ID，也稱作 “ 數(shù)字證書 ” ，就象 “ 電子護照 ” 一樣，并把用戶的數(shù)字簽名和他的公鑰綁定起來。 ? Certificate Practice Statement(CPS)—— 一些由商業(yè)證書發(fā)放機構(gòu)或者可信的第三方操作的 PKI系統(tǒng)需要 CPS。 CA的作用包括：發(fā)放證書，用數(shù)字簽名綁定用戶或系統(tǒng)的識別號和公鑰；規(guī)定證書的有效期；通過發(fā)布證書廢除列表（ CRL）確保必要時可以廢除證書。 ? 4. 證書發(fā)布系統(tǒng) ? 根據(jù) PKI環(huán)境的結(jié)構(gòu)，證書的發(fā)布可以有多種途徑，比如，可以通過用戶自己，或是通過目錄服務(wù)。 PKI的其他元素 ? 除了上述的組件外，通常 PKI還涵蓋特殊數(shù)據(jù)對象，主要有證書、交互證書對、 CRL等。 ? 3. 交互證書對 (CrossCertificatePairs) ? 兩個 CA之間可藉由彼此互發(fā)證書來建立信賴關(guān)系，可想而知，交互證書對里包含了兩個 CA互發(fā)之證書。每個證書為什么被注銷，是過期或者是密鑰不安全，這些理由也要一并寫入 CRL里。 PKI的基本功能 ? PKI 的基本功能包括：簽發(fā)證書、注銷證書、證書的取得、解讀以及