PKI介绍

本文档旨在向您简要介绍PKI或 公钥基础结构正常工作。

使用的术语

为避免混淆，在Easy-RSA中将使用以下术语 文档。短格式可以方便地代替长格式。

• ** PKI **：公钥基础结构。这描述了文件的收集 以及CA，密钥对，请求和证书之间的关联。
• ** CA **：证书颁发机构。这是“主证书”的根源 PKI。
• ** cert **：证书。证书是由 CA。证书包含公钥，一些详细信息描述了 证书本身，以及CA的数字签名。
• ** request **：证书请求（可选为“ req”。）这是对 证书，然后将其发送到CA进行签名。一个请求包含 所需的证书信息以及来自私人的数字签名 键。
• 密钥对：密钥对是不对称的加密密钥对。这些 密钥分为两部分：公共密钥和私有密钥。公钥 包含在请求和证书中。

CA

PKI的核心是CA或证书颁发机构，这也是 对安全性最敏感。 CA私钥用于签名所有已颁发 证书，因此其安全性对于确保整个PKI安全至关重要。对于 因此，强烈建议将CA PKI结构保持在 专门用于这种安全使用的系统；保留CA不是一个好主意 PKI与用于生成最终实体证书（例如客户端）的证书混合在一起 或服务器（VPN或Web服务器。）

要启动新的PKI，首先在安全环境中创建CA。 根据安全需求，可以使用锁定的帐户进行管理， 专用系统，甚至是完全脱机的系统或使用可移动媒体 以提高安全性（毕竟，如果您的 系统或PKI不在线。）创建CA的确切步骤在 单独的部分。创建新的CA时，CA密钥对（私有和公共） 密钥）以及支持签名所需的文件结构 颁发的证书。

创建一个CA后，它可以从以下位置接收证书请求 终端实体。这些实体证书颁发给X509的使用者 证书，例如VPN，Web或电子邮件系统的客户端或服务器。的 证书申请和证书对安全性不敏感，可以是 以任何方便的方式进行传输，例如电子邮件，闪存驱动器等。 更好的安全性，最好验证接收到的请求是否与 寄件人的副本，例如通过对照寄件人的 原版的。

密钥对和请求

各个最终实体不需要完整的CA设置，仅需要 创建密钥对和关联的证书请求。不使用私钥 除此实体上的任何地方外，切勿离开该系统。这是明智的 用强密码来保护此私钥，因为如果丢失或被盗 私钥的持有人可以使连接显示为证书 持有人。

生成密钥对后，便会创建证书请求并进行数字化处理 使用私钥签名。该请求将被发送到CA进行签名，并且 签名证书将被退回。

请求如何成为证书

CA签署证书请求后，将生成签名证书。在 在此步骤中，使用CA的私钥对实体的公共数字签名 密钥，以便任何信任CA证书的系统都可以隐式信任 新签发的证书。然后将此签名的证书发送回给 请求实体。颁发的证书不是安全敏感的，可以是 通过明文传输方法发送。

验证颁发的证书

在两个实体创建了密钥对之后，将其请求发送到CA，并且 收到了他们的签名证书和CA自己的证书的副本，他们 可以彼此相互认证。此过程不需要2 实体以前直接交换过任何类型的安全信息。

在TLS握手期间，连接的每一端都呈现自己的证书链 到远端。双方检查收到的证书是否有效 他们自己的CA证书副本。通过信任CA根证书，他们就是对等方 与之交谈可以被认证。

远端证明它“确实是”由证书标识的实体 使用自己的私钥对数据签名。仅私人持有人 钥匙能够做到这一点，从而允许远程端验证 连接到的系统。