PKI是一种安全体系结构,它被引入来增强在日益不安全的互联网上交换信息的信心,保证信息交换的安全。

一、什么是PKI?
PKI (Public Key Infrastructure)可能非常令人困惑,即使对技术人员来说也是如此,因为它用于表示几个不同的事物。一方面,pki可能意味着共同提供安全基础设施的方法、技术和技术。另一方面,pki可能意味着使用公钥和私钥对进行身份验证和内容证明。PKI基础设施有望为其用户提供以下好处:
电子发送和接收信息质量的确定性
信息来源和目的地的确定性
保证信息的时间和时间(提供已知的时间来源)
确定该信息的隐私
保证信息可以作为证据在法庭或法律中提出。

二、公钥加密概念的工作原理
公钥密码术使用一对数学上相关的加密密钥。如果使用一个密钥加密信息,那么只有相关的密钥才能解密该信息。如果你知道其中一个键,你就不能轻易地计算出另一个键是什么。因此,在公钥系统中,您具有以下特性:
一把公钥。这是你公开的东西——它是免费分发的,所有用户都可以看到。
一个对应的(和唯一的)私钥。这是一个你保守秘密的东西-它不会在用户之间共享。
你的私人钥匙可以让你明确地证明你是你声称的那个人。

三、PKI的基础技术
包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

四、PKI的基本组成
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。   pki允许您以一种允许您信任证书的方式将公钥(包含在SSL证书中)绑定到一个人。公钥基础设施,如用于保护Internet的基础设施,通常使用证书颁发机构(也称为注册机构)来验证实体的身份并创建不可伪造的证书。Web浏览器、Web服务器、电子邮件客户端、智能卡和许多其他类型的硬件和软件都具有集成的、基于标准的PKI支持,可以相互使用。

五、CA机构
证书颁发机构(也称为受信任的第三方或CA)是在验证组织或个人的身份后向其颁发数字证书的组织。它验证的信息包含在签名证书中。它还负责撤销已被泄露的证书。许多证书颁发机构的根证书嵌入在Web浏览器中,因此您的Web浏览器自动信任它们。他们将使用受信任根证书(或中间证书)签署实体的证书,以创建“信任链”,这样浏览器将信任实体的证书。基本上,Web浏览器开发人员说:“我们信任这个证书颁发机构,他们说这是实体的公钥,所以,如果我们使用它,我们知道我们在与正确的实体交谈。”

六、PKI中的信任
当在pki上下文中讨论信任时,它的含义与一般用法中的含义不同,因此需要澄清它的含义以避免混淆。SSL证书提供了我们正在与正确的服务器对话的保证,但是保证是有限的。例如,DV证书不包括组织身份保证(与EV证书不同),CA在申请证书时很容易识别申请人是否有犯罪意图。在pki中,信任仅仅意味着证书可以由信任存储中的CA验证。

七、证书
PKI中的SSL证书是包含公钥、实体信息和证书颁发者的数字签名的数字文档。它允许我们交换和使用公共密钥以建立信任。证书通常使用ASN.1进行编码。

八、证书链
最终实体证书可以直接由受信任的根证书进行签名,但是通过签署中间证书来建立到根证书的信任链更为实际和安全,中间证书反过来又签署最终实体证书。这使得根证书更安全,因为签名证书的私钥需要对签署最终实体证书的服务器可用。

九、证书存储库
信任存储是默认情况下受信任的根证书的集合。它们由生产操作系统和Web浏览器的公司维护。截至2016年,有四家主要的信任商店可供大多数软件使用:苹果、微软、Chrome和Mozilla。每个都有自己的标准和要求,在其信任存储中包含根证书,但它们都要求CA在包含根证书之前接受一个或多个审核。

十、证书注销系统
Internet PKI提供了一个吊销系统,如果证书颁发不正确或私钥被破坏,该系统允许将证书列为无效证书。Web浏览器通常会在依赖证书创建安全连接之前进行检查,以确保证书没有被吊销。目前,有两种类型的系统来传输吊销信息,包括证书吊销列表(CRL)和联机证书状态协议(OCSP)。