一、PKI是什么
PKI(Public Key Infrastructure)公开密钥基础建设。
PKI 产生于二十世纪八十年代,是在公开密钥理论和技术基础上发展起来的一种综合安装平台,能够为所有网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。
不难看出,建立以PKI为基础的安全解决方案,无论是对 Internet上开展的无纸化办公等内部业务,还是对电子支付、网上证券交易、网上购物、网上教育、网上娱乐等网络应用,都是一种安全可靠的选择。目前,PKI 技术已经趋于成熟,应用已覆盖了从电子邮件、虚拟专用网络(VPN)、Web交互安全到电子商务、电子政务、电子事物安全等诸多领域。
公开密钥加密法(Public Key Encryption)
PKI 使用“公开密钥加密法” 来将信息加密、解密。(例如,如寄件者在加密时使用收件者的公开密钥将信息加密,而收件者会利用自己的私有密钥将信息解密)
公开密钥验证法(digital signature)
使用"公开密钥验证法"来对想要发送的信息进行数字签名。对方收到你的消息之后,能通过数字签名来验证信息是否确实是由你所发出的,同时还可以确认信息在发送的过程中是否被动过手脚。
二、证书认证机构 CA
用户除了必须拥有公开密钥和似有密钥之外,还必须申请证书 (certification)或是数字识别码,才可以使用公开密钥与私有密钥来执行信息加密与身份验证。而负责发放证书的机构称之为——证书颁发机构 CA
证书中包含:拥有者的姓名、地址、电子邮件帐号、公开密钥、证书有效期限、发放证书的CA、CA的数字签名等信息。
CA的信任
在PKI架构下,当用户利用CA发放的证书发送来一封签名的电子邮件时,收件者的计算机必须信任由此CA 所发放的证书,否则收件者的计算机会将此电子邮件视为一封有问题的电子邮件。Windows Server 2003/XP/2000默认已经信任一些知名的CA所发放的证书。
可通过IE的“工具”--“Internet选项”--“内容”--“证书”--“受信任的根证书颁发机构”来查看
CA的架构
微软的 PKI支持结构化的 CA,其分为:
1、根CA:
位于此架构的最上层,可以用来放保护电子邮件安全的证书、提供网站SSL 安全传输证书,在很多时候,被用来发放证书给从属 CA。
2、从属CA:
从属CA必须先向其父 CA取得证书之后才可以发放证书。
CA的种类
通过安装‘证书服务’,可以让 Windows Server 2003扮演 CA的角色,而且可以选择将其设置为:
- 企业根CA(enterprise root CA)
- 独立根CA(standard-alone root CA)