江西师范大学商学院电子商务教研室
陈建 副教授
E-mail,88888k@gmail.com
博客, http://unclear.blogchina.com
第 5章 数字证书
5.1 数字证书简介
5.2 数字证书的格式
5.3 公私密钥对的管理
5.4 数字证书的申请与发放
5.5 数字证书的分发
5.6 数字证书的撤销
目录
5.1 数字证书简介
数字证书, 是一个由使用数字证书的用户群
所公认的和信任的权威机构(即 CA)签署了其数
字签名的信息集合。
5.2 数字证书的格式
5.2.1 基本数字证书格式
5.2.2 X.509版本 3数字证书格式
5.2.3 数字证书扩展标准
5.2.1 基本数字证书格式
?X.509数字证书格式有三个不同版本
?内容,
5.2 数字证书的格式
5.2.2
X.509版本 3
数字证书格式
5.2 数字证书的格式
5.2.3 数字证书扩展标准
?密钥信息扩展
?政策信息扩展
?主体及发放者属性扩展
?认证路径约束扩展
?与数字证书撤消表( CRLs)相关的扩展
5.2 数字证书的格式
5.3 公私密钥对的管理
5.3.1 密钥对的生成
5.3.2 私钥的保护
5.3.3 密钥对的更新
5.3.1 密钥对的生成
?两种方法,
?由密钥对持有者系统生成
?由密钥管理中心系统生成
5.3.2 私钥的保护
?保护方法,
?将私钥存储在不可写的硬件模块或标记中,如智能卡中
?将私钥存储在计算机硬盘或其他数据存储媒介上的加密数
据文件中
?将私钥存储在数字证书服务器上,当用户通过了服务器的
鉴定,并在服务器上使用了一段时间后,该服务器会将私
钥传送给用户
5.3 公私密钥对的管理
5.3.3 密钥对的更新
?与加密有关的密钥对
?数字签名密钥对
?认证机构数字签名密钥对
5.3 公私密钥对的管理
5.4 数字证书的申请与发放
?5.4.1 数字证书管理机构的作用
?5.4.2 数字证书的申请注册
?5.4.3 数字证书的生成
?5.4.4 数字证书的更新
5.4.1 数字证书管理机构的作用
注册机构 RA,本身并不发放数字证书,但 RA可以确认、批准
或拒绝数字证书申请人的申请,随后由 CA给经过批准的申请人发
放数字证书。
?RA功能,
?注册、注销、批准或拒绝对数字证书属性的变更要求
?确认数字证书申请人的合法性
?批准生成密钥对和数字证书的请求及恢复备份密钥的请求
?批准撤销或暂停数字证书的请求(需相应 CA支持)
?向有权拥有身份标记的人当面分发标记或恢复旧标记
5.4 数字证书的申请与发放
5.4.2 数字证书的申请注册
?身份确认方法,
?了解私有文件
?亲自到场
?身份证明文件
5.4.3 数字证书的生成
?数字证书的生成步骤
?数字证书申请人将数字证书内容信息提供给认证机构
?认证机构确认信息的正确性
?由 CA给数字证书加上数字签名
?将数字证书的一个副本传送给用户
?将数字证书的一个副本传送到数字证书数据库,以便公布
?数字证书的一个副本可以由 CA或其他实体存档
?CA将数字证书生成及发放过程中的细节记录在审计日志中
5.4 数字证书的申请与发放
5.4.4 数字证书的更新
每份数字证书的生命周期都是有限的。在数字证
书期满后需要更换数字证书。另外,密钥对也需要定
期更换,而一旦更换了密钥对,那就需要用新的数字
证书。
5.4 数字证书的申请与发放
5.5 数字证书的分发
5.5.1 利用数字签名分发数字证书
签名者通常拥有自己数字证书的一个副本,他可
以将该副本附加在数字签名中。任何想检验数字签名
的人就都可以拥有该数字证书的副本。
5.5.2 利用目录服务分发数字证书
在利用公钥技术加密信息时,信息的发送方必须
首先获得所有接收方的认证公钥。信息的发送方可以
通过目录检索来获得接收方的数字证书及其他的信息。
5.6 数字证书的撤销
5.6.1 请求撤消数字证书
5.6.2 数字证书撤消表的格式
5.6.3 撤消数字证书的方法
5.6.4 X.509标准的数字证书撤消表
5.6.1 请求撤消数字证书
5.6.2 数字证书撤消表的格式
5.6 数字证书的撤销
5.6.3 撤消数字证书的方法
?定期公布数字证书撤消表
?广播数字证书撤消表
?进行在线状态检查
?发行短期数字证书
?其他撤消方法
?从数字证书数据库中删除数字证书
?可信的数字证书服务器或目录
?间隔时间更短的周期性数字证书撤销表
?建立数字证书撤销树
5.6 数字证书的撤销
5.6.4 X.509标准的数字证书撤消表
?X.509 数字证书撤消表格式
5.6 数字证书的撤销
5.6.4 X.509标准的数字证书撤消表
?数字证书撤消表扩展标准
?一般扩展
?数字证书撤销表分发点
?Delta – 数字证书撤销表
?间接数字证书撤销表
?数字证书暂停
?状态提名
5.6 数字证书的撤销