IETF RFC3280规定了CA的系统结构,其相关实体及其关系如下。
1.CA相关实体
①终端实体:指应用环境中涉及他人证书的用户,或证书持有者。
②CA:负责签发证书和CRL,并把证书与CRL发布到存储库中。CA支持多级,上级CA可签发下级CA,最下级CA只能签发终端实体证书,最顶级CA叫根CA。为达到互联互通,不同CA间可签发交叉认证证书。
③RA:属于可选系统。CA可把部分管理功能授权给RA负责,如注册申请、证书发布等。
④CRL签发者:属于可选系统。CA可将CRL签发和CRL发布功能授权给CRL签发者负责,CRL是表示证书作废列表。
⑤存储库:分布式系统的总称,专门用来存储证书与CRL。终端实体可由访问存储库面方便地获得所需的证书与CRL,因数字证书有防伪性和有效期,因此数字证书可通过随意非信任的系统分发,也可存储到任何非安全的设备中。
2.证书作废
数字证书签发后,在其有效期内应该处于有效状态。但是,有很多原因可能会导致处于有效期内的证书不能继续使用,如名称发生改变、CA和证书持有者 之间的关系发生变化(如员工可能离职),私泄露或被怀疑泄露,如果发生这些情况,CA需把该证书作废,使该证书处于无效状态。
CA引入CRL机制用来对外发布作废证书。CRL表示证书作废列表,CRL与数字证书相似,是一个特殊的数据结构,由CA或CRL签发者签名、全部作废证书的序列号等组成,可以文件形式存在,当应用系统接收到对方证书时,为验证该证书是否有效,不仅需核对该证书中包含的CA签名和有效期,还需核对该证书是否已经作废(获取最新CRL,检查该证书序列号是否在该CRL中)。CA或CRL签发者定期签发并发布CRL,并在CRL中指明下次签发的最晚时间。
由于CRL也具有防伪性,因此CRL也可以跟数字证书类似,通过任意非信任的系统进行分发。
3.操作协议
操作协议用来把证书和CRL(或状态信息)传递给客户端系统。可采用多种方式传递,如LDAP、HTTP、FTP、X.500等。
4.管理协议
管理协议用来PKI用户与管理实体间的功能交互。管理协议主要包括如下功能集合。
①注册:用户将用来申请证书的相关信息提交给CA。可直接提交,也可由RA间接提交。
②初始化:为确保客户端系统运行时的安全性,在使用前要预先正确地安装与密钥相关数据。例如,受信任CA的相关信息,以及用户自己的公/私钥对。
③签发证书:CA为用户公钥签发数字证书,并把证书返回给用户的客户端系统,同时把证书发布到存储库。
④密钥对恢复:若有需要,CA或密钥备份系统可备份用户的密钥资料(如私钥)。必要时,可为用户恢复密钥资料,如私钥、口令等。
⑤密钥对更新:全部密钥对都需定期更新成新密钥对,然后签发新证书。
⑥作废请求:当证书异常时,用户可向CA提出申请,把其作废。
⑦交叉认证:两个CA互相签发交叉认证证书来达到互联互通。