Public Key Infrastructure PKI

PKI 的定义、核心组件和证书链机制。

#status / growing #type / concept

公钥基础设施 (Public-Key-Infrastructure,PKI)

1. 定义

公钥基础设施 (Public Key Infrastructure, PKI) 是用非对称密码算法原理和技术来实现并提供安全服务的具有普适性的基础设施。 简单来说,它是一套硬件、软件、人员、策略和程序的集合,用来创建、管理、存储、分发和撤销数字证书

核心解决问题:在开放网络中,如何确认“这个公钥确实属于这个人/机构”?(解决公钥的可信分发问题)

2. 核心组件

PKI 系统通常由以下部分组成:

  • CA (Certification Authority, 认证中心):PKI 的核心信任源(权威第三方)。负责签发管理数字证书。
    • 根 CA (Root CA):自签名的最高层级 CA,通常内置在浏览器或操作系统中。
  • RA (Registration Authority, 注册管理中心):负责证书申请者的身份审核,是 CA 的“前台”。
  • 数字证书 (Digital Certificate):电子身份证。将用户身份信息公钥绑定,并由 CA 进行数字签名防止篡改。
    • 标准格式:X.509 v3。
  • 证书库 (Repository):存储已发布的证书和黑名单(CRL),供用户查询。
  • CRL / OCSP:用于检查证书是否已被吊销(撤销)。

3. 信任模型 (证书链)

PKI 采用树状或分级的信任模型:

  1. 用户信任 Root CA(因为操作系统自带了它的公钥)。
  2. Root CA 信任并签发 中间 CA 的证书。
  3. 中间 CA 信任并签发 终端用户(如网站、个人)的证书。
  4. 验证过程:浏览器会沿着证书链(Certificate Chain)逐层验证签名,直到找到受信任的 Root CA。

4. 证书生命周期

  1. 申请:用户生成密钥对,将公钥和身份信息发送给 RA/CA。
  2. 签发:CA 审核通过后,用自己的私钥对用户公钥和信息进行签名,生成证书。
  3. 使用:用户出示证书,对方验证证书合法性后,提取证书中的公钥进行加密或验签。
  4. 撤销:如果私钥泄露或停止服务,证书会被加入 CRL (证书吊销列表),之后的验证将不通过。

相关链接

创建于 2026/1/6 更新于 2026/5/27