ca认证是什么(ca数字证书初始密码)( 三 )
证书的下载证书下载是指终端实体通过SCEP协议从CA服务器查询并下载颁发的证书,或者通过CDP指定的机制和地址下载颁发的证书 。该证书可以是您自己的证书、CA证书或其他终端实体的证书 。
证书的撤销由于用户身份、用户信息或用户公钥的变更,以及用户业务的中止,用户需要撤销其数字证书,即撤销公钥与用户身份信息的绑定关系 。
在PKI中,CA撤销证书使用的方法是证书撤销列表CRL,终端实体通过带外方式申请撤销自己的证书 。
为了撤销其证书,终端实体必须在带外通知CA服务器管理员 。
管理员终端实体需要提供自己的质询密码(在注册证书时,质询密码已作为PKCS10证书请求的属性发送给CA) 。
如果终端实体提供的挑战口令与CA服务器保存的口令一致,CA发布CRL以撤销证书 。
CRL的下载
CA/RA不会主动向终端实体发布CRL,但是终端实体会主动发起CRL查询 。
下载CRL有两种方式:CDP和SCEP 。
如果CA支持CDP,在向终端实体颁发证书时,将CRL发布点的URL地址编码成CDP属性并封装在证书中,终端实体根据CDP下载CRL 。
如果证书中没有携带CDP信息,并且设备上没有本地配置CDP的URL地址,则设备通过SCEP协议向CA服务器请求CRL 。当终端通过SCEP协议获取证书时,以证书颁发者的名称和证书的序列号作为查询关键字 。
证书状态检查方式当终端实体验证对等证书时,经常需要检查对等证书是否有效 。检查证书的状态,对等证书是否已过期,或者是否已被添加到证书黑名单中 。
通常,终端实体检查证书状态有三种方式:CRL方式、OCSP方式和无方式 。
CRL模式:
如果CA支持CDP,当CA颁发证书时,证书中将包含CDP信息,描述获取证书CRL的方式和方法 。终端使用CDP中指定的机制和地址来定位和下载CRL 。
如果在PKI域下配置了CDP的URL地址,它将覆盖证书中携带的CDP信息,终端实体将使用配置的URL获取CRL 。
在线证书状态协议OCSP(在线证书状态协议)模式
如果CA不支持CDP,即证书中没有指定CDP,并且在PKI域下没有配置CRL的URL地址,终端实体可以使用OCSP协议检查证书状态 。
无模式:
如果终端实体没有可用的CRL和OCSP服务器,或者不需要检查对等证书的状态,可以采用None模式,即不检查证书是否被撤销 。
证书合法性验证终端获得对等证书后,当需要对对等证书进行认证时,比如与对等方建立安全隧道或连接时,通常需要验证对等证书和证书颁发者的合法性 。如果证书颁发者的证书无效或过期,此CA颁发的所有证书都不再有效 。但是在CA证书过期前,设备会自动更新CA/RA证书,非正常情况下CA证书会过期 。
为了完成证书验证,除了对等证书之外,本地设备还需要以下信息:可信CA证书、CRL、本地数字证书及其私钥,以及与证书认证相关的配置信息 。
证书验证的主要过程如下:
使用CA证书的公钥来验证证书颁发机构的签名是否正确 。
根据证书的有效期,验证证书是否过期 。
检查证书的状态,即检查证书是否已被CRL、OCSP、None等吊销 。
证书链验证为了验证数字证书的有效性,首先需要获得颁发证书的CA的公钥(即获得CA证书),以便检查证书上CA的签名 。一个CA可以要求另一个更高级别的CA证明其数字证书的合法性,从而沿着证书链,验证数字证书成为一个迭代的过程,最后这个链必须在某个“信任点”结束(一般是持有自签名证书的根CA或实体信任的中间CA) 。
所谓证书链,是指从终端实体证书到根证书的一系列可信证书 。任何终端实体,如果它们共享相同的根CA或子CA,并且已经获得CA证书,则可以验证对等证书 。通常,在验证对等证书链时,当遇到第一个可信证书或CA机构时,验证过程结束 。
证书链的验证过程是从目标证书(待验证的实体证书)到信任点证书的过程 。
推荐阅读
- ivgtt是什么意思(ivgtt外周)
- 接驳车是什么意思(大学生接驳是啥意思)
- 统招生是什么意思(往届中专毕业生怎么上大专)
- 不亚于是什么意思(一点也不亚于)
- 骑士是什么意思(王子和骑士哪个更爱公主)
- rt是什么单位(rt是什么温度的缩写)
- 交割是什么意思(实物交割是什么意思)
- 郡肝是什么(小郡肝的功效与作用)
- 不二之选是什么意思(不二人选的近义词)
- 征信花了是什么意思(负债高,综合评分不足去哪里贷款)