证书和公钥

证书服务是公钥基础结构 (PKI) 的基础之一,它提供保护和验证信息的方法。 证书持有者、证书持有人的身份和证书持有人 公钥 之间的关系是 PKI 的关键部分。 此基础结构由以下部分组成:

公钥/私钥对

PKI 需要使用 公钥/私钥对。 公钥/私钥对的数学超出了本文档的范围,但请务必注意公钥和私钥之间的功能关系。 PKI 加密算法 使用加密消息接收方的 公钥 来加密数据,以及相关的 私钥 以及仅相关私钥来解密加密的消息。

同样,下面更详细地描述了内容的 数字签名 ,是使用签名者的私钥创建的。 可用于所有人的相应公钥用于验证此签名。 必须维护私钥的保密性,因为该框架在私钥泄露后会崩溃。

给定足够的时间和资源,可以泄露公钥/私钥配对,即可以发现私钥。 密钥越长,使用暴力破解发现私钥就越困难。 实际上,足够强大的密钥可用于使无法及时确定私钥,使公钥基础结构成为可行的安全机制。

私钥可以以受保护的格式存储在磁盘上,在这种情况下,它只能与该特定计算机一起使用,除非它以物理方式移动到另一台计算机。 另一种方法是,在智能卡上有一个密钥,可以在另一台计算机上使用,前提是它具有智能卡读取器和支持软件。

数字证书使用者的公钥(而不是私钥)包含在 证书请求中。 (因此,在发出证书请求之前,必须存在公钥/配对 私钥。) 该公钥将成为颁发的证书的一部分。

证书请求

在颁发证书之前,必须生成 证书请求 。 此请求适用于一个实体,例如最终用户、计算机或应用程序。 对于讨论,假设实体是自己。 证书请求中包含标识的详细信息。 生成请求后,会将其提交到 证书颁发机构 (CA) 。 然后,CA 使用标识信息来确定请求是否符合颁发证书的 CA 条件。 如果 CA 批准请求,它会向你颁发证书,作为请求中命名的实体。

证书颁发机构

在颁发证书之前,CA 会验证你的身份。 颁发证书后,标识将绑定到包含公钥的证书。 证书还包含 CA 的数字签名 (,任何人都可以在收到证书) 进行验证。

由于证书包含颁发 CA 的标识,因此信任此 CA 的感兴趣的方可以将该信任扩展到证书。 证书的颁发不建立信任,而是传输信任。 如果证书使用者不信任颁发 CA,则它不会 (,或者至少不应) 信任证书。

签名证书链允许将信任传输到其他 CA。 这样,使用不同 CA 的各方仍能够信任证书 (前提是链中有一个常见的 CA,即双方信任的 CA) 。

证书

除了公钥和颁发 CA 的标识外,颁发的证书还包含有关密钥和证书用途的信息。 此外,它还包括 CA 吊销证书列表的路径,并指定证书有效期 (开始和结束日期) 。

假设证书使用者信任证书的颁发 CA,则证书使用者必须通过将证书的开始和结束日期与当前时间进行比较,以及检查证书是否不在 CA 的已吊销证书列表中来确定证书是否仍然有效。

证书吊销列表

假设证书在有效时间段中使用,并且证书使用者信任颁发 CA,则证书使用者在使用证书之前要检查的一个项目: 证书吊销列表 (CRL) 。 证书使用者检查 CA 的 CRL (证书) 中作为扩展包含的路径,以确保证书不在已吊销的证书列表中。 CRL 存在,因为有时证书尚未过期,但不再受信任。 定期,CA 将发布更新的 CRL。 在考虑证书可信之前,证书使用者负责将证书与当前 CRL 进行比较。

用于加密的公钥

如果发件人想要在发送给你之前加密邮件,则发件人首先检索证书。 发送方确定 CA 受信任且证书有效且未吊销后,发送方使用公钥 (召回证书) 加密算法将 纯文本 消息加密为 密码文本。 收到密码文本时,使用私钥解密密码文本。

如果第三方截获密码文本电子邮件,则第三方将无法解密,而无法访问 私钥

请注意,此处列出的大部分活动由软件处理,而不是由用户直接处理。

用于签名验证的公钥

数字签名用作未更改邮件的确认,并用作消息发件人标识的确认。 此数字签名依赖于私钥和消息内容。 使用消息作为输入和私钥,加密算法将创建数字签名。 签名过程不会更改消息的内容。 收件人可以在检查证书的有效性、颁发 CA 和吊销状态后使用公钥 (,) 确定签名是否与邮件内容相对应,并确定邮件是否由你发送。

如果第三方截获预期邮件,则更改它 (甚至稍微) ,并将它和原始签名转发给收件人,收件人在检查邮件和签名后,将能够确定邮件是否可疑。 同样,如果第三方创建一条消息,并在其源自您的情况下使用虚假数字签名发送该邮件,则收件人将能够使用公钥来确定该邮件和签名彼此不对应。

数字签名也支持非可否认性。 如果签名邮件的发件人拒绝发送邮件,则收件人可以使用签名来驳斥该声明。

请注意,此处列出的大部分活动也由软件处理,而不是由用户直接处理。

Microsoft 证书服务角色

Microsoft 证书服务的作用是颁发证书或拒绝证书请求,由策略模块指示,这些模块负责确保证书请求者的标识。 证书服务还提供吊销证书以及发布 CRL 的功能。 证书服务还可以集中分发 (,例如,) 颁发的证书的目录服务。 颁发、分发、撤销和管理证书以及发布 CCL 的功能为公钥基础结构提供了必要的功能。