【文章內(nèi)容簡介】 除對此證書的信任關(guān)系。結(jié)構(gòu)如圖 45所示。 134 52C r o s s C e r ti fi c ati o n認(rèn)證中心具體組成 ? 認(rèn)證中心中的服務(wù)器包括安全服務(wù)器、登記中心服務(wù)器、 CA服務(wù)器以及 LDAP（ Lightweight Directory Access Protocol）服務(wù)器，人員包括用戶、登記中心操作員以及 CA操作員。組成如圖 46所示。 ? 1. 用戶 ? 用戶使用瀏覽器訪問安全服務(wù)器，申請數(shù)字證書，之后到登記中心注冊，出示有效證件。認(rèn)證中心為用戶發(fā)行證書以后，用戶根據(jù)登記中心發(fā)來的郵件到安全服務(wù)器上下載自己的數(shù)字證書。 ? 2. 服務(wù)器 ? CA服務(wù)器： CA服務(wù)器需要最先設(shè)置， CA首先產(chǎn)生自身的私鑰和公鑰（密鑰長度至少為 1024位），然后生成數(shù)字證書，并且將數(shù)字證書傳輸給安全服務(wù)器。 CA還負(fù)責(zé)為操作員、安全服務(wù)器以及登記中心服務(wù)器生成數(shù)字證書。操作員的數(shù)字證書需要轉(zhuǎn)化成 .p12的格式，通過硬拷貝的方式嵌入到登記中心操作員的瀏覽器中。安全服務(wù)器的數(shù)字證書和私鑰也需要傳輸給安全服務(wù)器。CA服務(wù)器是整個結(jié)構(gòu)中最為重要的部分，存有 CA的私鑰以及發(fā)行證書的腳本文件，我們出于安全的考慮，將 CA服務(wù)器與其他服務(wù)器隔離，任何通信采用人工干預(yù)的方式，確保認(rèn)證中心的安全。 ? 3. 操作員 ? 登記中心操作員使用瀏覽器訪問登記中心服務(wù)器，服務(wù)器需要對操作員進(jìn)行身份認(rèn)證，操作員向服務(wù)器出示 CA頒發(fā)的證書，服務(wù)器根據(jù)配置文件檢查操作員的數(shù)字證書，如果證書合法，則與對方建立 SSL通信。操作員的人數(shù)可以根據(jù)實際情況而定。 ? CA操作員負(fù)責(zé)頒發(fā)用戶的數(shù)字證書以及撤消證書。 CA操作員的身份特別，是整個系統(tǒng)的核心，必須是最可信的人才能擔(dān)任。 認(rèn)證中心密鑰管理 ? 認(rèn)證中心應(yīng)在私鑰和公鑰的整個生命期間內(nèi)對它們進(jìn)行安全性和高可靠性的管理。這一要求適合于所有用于證書和撤銷單的簽名和加密對稱密鑰的密鑰對，以及加密重要機(jī)密信息和加密用于產(chǎn)生密鑰的秘密參數(shù)的對稱密鑰。 ? 1. 密鑰產(chǎn)生 ? CA應(yīng)該采用可信賴的密鑰產(chǎn)生系統(tǒng)來產(chǎn)生密鑰對和對稱密鑰。最好是在密碼模塊中裝配密鑰產(chǎn)生系統(tǒng)的功能。應(yīng)該在雙重控制下產(chǎn)生密鑰對和對稱密鑰。最好由來自不同權(quán)威機(jī)構(gòu)的人員進(jìn)行雙重控制。 ? 2. 密鑰貯存 ? 在密鑰產(chǎn)生系統(tǒng)生成的密鑰應(yīng)分割成多個密鑰塊，每塊分開保存，以防止單塊密鑰的非法泄漏而導(dǎo)致整個密鑰的失密?；蛘呙荑€應(yīng)保存在密碼模塊中。 ? 當(dāng)密鑰采用知識分割法貯存時，每一分割信息塊應(yīng)由授權(quán)人員獨立貯存。如果密鑰貯存在密碼模塊中，它們應(yīng)在雙重控制下貯存以便密碼模塊在所有授權(quán)人在場的情況下才可訪問。 密鑰使用 ? 用于數(shù)字簽名和解密的私鑰和對稱密鑰，應(yīng)該在密碼模塊中保存和使用。如果密鑰以知識分割法貯存，秘密信息應(yīng)裝載到密碼模塊中。裝載過程應(yīng)在雙重控制下完成。 ? 把密碼模塊連接到證書頒發(fā)系統(tǒng)，或開啟密碼模塊中的密鑰，操作過程應(yīng)在雙重控制下完成。將密碼模塊中的密鑰從開啟狀態(tài)轉(zhuǎn)變?yōu)殛P(guān)閉狀態(tài)，以中止系統(tǒng)與密碼模塊的連接，其操作過程應(yīng)在雙重控制下完成。為了確保密鑰使用過程中的更高安全性，最好是在離線方式下操作系統(tǒng)，包括密碼模塊。 ? 4. 密鑰備份 ? CA產(chǎn)生的私鑰和對稱密鑰應(yīng)該備份以防止這些密鑰被意外刪除而造成認(rèn)證中心操作中斷。備份所要求的安全程度必須高于或等于貯存時的要求。最好是把備份的密鑰貯存在遠(yuǎn)離原密鑰貯存的地方。 ? 5. 密鑰存檔 ? 當(dāng)私鑰和對稱密鑰過了有效期后，而這些密鑰將在到期后仍是需要的（如私鑰在有效期后需要用于解密密鑰），應(yīng)規(guī)定存檔期并采用知識分割法和雙重控制進(jìn)行密鑰存檔。認(rèn)證中心的公鑰必須在有效期過后依然可以獲得。密鑰存檔后，它們應(yīng)被保護(hù)起來以防止攻擊。 ? 6. 密鑰銷毀 ? 認(rèn)證中心用于數(shù)字簽名的私鑰過了有效期和存檔期后，出于安全原因，應(yīng)該被銷毀。在銷毀這些密鑰時，不公布或保留任何秘密信息。 ? 7. 密鑰例行更新 ? 認(rèn)證中心必須事先指定其密鑰的有效期并定期更新。認(rèn)證中心的密鑰有效期應(yīng)按照政策要求指定。 密鑰失密 /災(zāi)難情況下的恢復(fù) ? 認(rèn)證中心應(yīng)提前建立措施以應(yīng)付由于認(rèn)證中心內(nèi)部的犯罪行為導(dǎo)致其私鑰失密的情況，認(rèn)證中心的私鑰被第三方解密的情況以及認(rèn)證中心遭受災(zāi)難性破壞的情況。 ? 在私鑰失密或很可能失密的情況發(fā)生時，認(rèn)證中心應(yīng)該及時撤消證書。在私鑰失密的情況下，認(rèn)證中心應(yīng)撤銷任何使用該私鑰的屬主證書并通知已撤消文件的屬主。認(rèn)證中心還應(yīng)采取下列措施： ? （ 1）公布認(rèn)證中心暫時停止接受申請者認(rèn)證請求的事實。 ? （ 2）為用戶建立可以查詢認(rèn)證中心狀況的窗口。 ? （ 3）認(rèn)證中心在私鑰失密或災(zāi)難已經(jīng)發(fā)生的情況下，應(yīng)采取以下恢復(fù)措施： ? 確認(rèn)采用了將操作轉(zhuǎn)移到安全備份環(huán)境的恢復(fù)措施。 ? 更新認(rèn)證中心的密鑰和證書。 ? 重新頒發(fā)屬主證書。 ? 為了防止私鑰泄漏，認(rèn)證中心最好通過抽樣檢驗或其他適當(dāng)?shù)姆椒▽ψC書使用方式進(jìn)行監(jiān)控。認(rèn)證中心最好不要自動提出重新頒發(fā)證書，只有當(dāng)屬主提出重新頒發(fā)證書請求時才重新頒發(fā)證書。 9. 認(rèn)證中心公鑰管理 ? 當(dāng)有上級認(rèn)證中心對產(chǎn)生的公鑰進(jìn)行認(rèn)證時，證書將從上級認(rèn)證中心獲得。當(dāng)沒有上級認(rèn)證中心時，應(yīng)生成用認(rèn)證中心自身的私鑰簽名的證書。認(rèn)證中心的證書應(yīng)當(dāng)向公眾發(fā)布或公開。 證書管理 ? 證書管理由五個不同的階段構(gòu)成： ? 1. 證書登記：從用戶向 CA 請求證書開始利用 PKI。（當(dāng)然，對于最終用戶來說，這應(yīng)該是一個透明過程。）這是用戶（實際是指用戶支持 PKI的應(yīng)用程序，如 Web瀏覽器）和 CA之間的合作過程，該過程從用戶生成密鑰對（公鑰和私鑰）時開始。 ? 完整的用戶請求由公鑰（自己生成的）和這一登記信息構(gòu)成。一旦用戶請求了證書， CA 就根據(jù)其建立的策略規(guī)則驗證信息。如果確定信息有效，則 CA創(chuàng)建該證書。然后， CA把用戶的公鑰發(fā)送到指定的任何資源庫（內(nèi)部的目錄或公用服務(wù)器），并使用該公鑰把識別證書發(fā)送給用戶。使用 PKI 加密，證書只能由生成匹配私鑰的用戶譯碼。 ? 2. 證書分發(fā)：登記過程的另一半，分發(fā)被視為單獨的過程只是因為它可能涉及到在 CA 層次上的管理層的干預(yù)。這個階段還包括對影響證書使用的策略的設(shè)置。 ? 3. 證書撤銷：當(dāng)發(fā)出證書時，將根據(jù)分發(fā)策略為它們配置特定的到期日。如果需要在該日期之前取消證書，則可以指示 CA 將這一事實發(fā)布和分發(fā)到證書撤銷列表（ CRL）中。 瀏覽器和其它支持 PKI 的應(yīng)用程序則配置成需要對當(dāng)前 CRL檢查 CA，并且如果他們無法驗證某一證書還沒有被添加到該列表，將不進(jìn)行任何操作。證書可能會因各種原因而被撤銷，包括證書接收方被泄露，或者 CA 本身被 “ 黑 ” 掉。 ? 4. 證書延期：當(dāng)證書到達(dá)為它設(shè)置的到期日時，其用戶可能需要（自動地，根據(jù)應(yīng)用程序的配置）延期該證書。顯然，這取決于最初設(shè)置的到期日，而且取決于 CA持有的證書的到期日，因為 CA 不能頒發(fā)在其自己的到期日后又將到期的證書。 ? 5. 證書審計：證書審計的過程取決于 CA 的類型及其管理工具，但它是一項必要的任務(wù)。這主要涉及跟蹤證書的創(chuàng)建和到期（以及可能的撤銷），但在某些情況下還可以記錄證書的每次成功使用。 證書的申請和頒發(fā) ? 一個證書成功的發(fā)放包括的步驟為： 1. 用戶申請； 2. 登記中心同意申請； 3. CA發(fā)行證書； 4. 登記中心轉(zhuǎn)發(fā)證書； 5. 用戶獲取數(shù)字證書。 ? 1. 用戶申請 ? 用戶首先下載 CA的證書，然后在證書的申請過程中使用 SSL的方式與服務(wù)器建立連接，用戶填寫個人信息，瀏覽器生成私鑰和公鑰對，將私鑰保存在客戶端特定文件中，并且要求用口令保護(hù)私鑰，同時將公鑰和個人信息提交給安全服務(wù)器。安全服務(wù)器將用戶的申請信息傳送給登記中心服務(wù)器。