1.PKI/CA 对数字证书的管理
PKI/CA 对数字证书的管理是按照数字证书的生命周期实施的,包括证书的安全需 求确定、证书申请、证书登记、分发、审计、撤回和更新。
映射证书到用户的账户是使数字证书的拥有者安全使用制定的应用所必不可少的环节,也是 PKI/CA 对数字证书管理的重要内容。
CA 是一个受信任的机构,为了当前和以后的事务处理,CA 给个人、计算机设备和 组织机构颁发证书,以证实它们的身份,并为他们使用证书的一切行为提供信誉的担保。
2. 数字证书的生命周期
下面分别介绍数字证书的生命周期的各个阶段。
阶段一;安全需求确定。为了确定 PKI 数字证书的安全需求,必须完成以下工作。
(1)标识需要证书的应用程序。在单位内部,确定与把信息暴露给非授权的用户相 关的风险。例如,当交换机密数据时, 一项业务可能正在保护商业伙伴之间的电子邮件 消息。
(2)确定所需要的安全级别。选择所需要的安全级别来保护信息的完整性和保密性 需要考虑的因素是私有密钥的长度、加密技术的算法、证书的生命周期和再生周期。例 如,使用一个较长的私有密钥和一个较短的证书生命周期来为高价值的信息提供安全性。
(3)标识需要证书的用户、计算机和服务。标识用户、计算机和服务,它们将参与 信息的安全交换。例如,确定来自外部伙伴的哪个用户将访问一个内部存货数据库。
(4)确定如何保护私有密钥。选择所需要的安全级别来保护私有密钥。选项包括在 用户的简档里储存私有密钥,或者为了改善安全性,也包括要求使用智能卡储存私有 密钥。
阶段二:证书登记。为了参与一个 PKI, 用户和计算机必须申请和接收来自CA 的 证书。申请和接收一个证书的过程称为登记。通常,通过提供独一无二的信息和一个新 生成的公开密钥, 一个用户启动登记过程。在颁发证书之前, CA 使用已提供的信息来 验证用户的身份。
申请和颁发一个证书的过程随着CA 及其策略的变化而变化,但是总的来说这个过 程可以划分为以下步骤。
(1)生成一个密钥对。申请人制定一个公开和私有密钥对,或者由单位给申请人分 配一个密钥对。
(2)收集登记信息。申请人给CA 提供颁发证书所需要的信息。例如,这些信息可 能包括用户的名字和电子邮件地址,或者包括一个出生证、指纹、公证文档,或者 CA 需要确认申请人身份的其他任何信息。
(3)申请证书申请人发送一个证书申请,它包括用户的公开密钥和另外所需要的 信息。
( 4 ) 用CA 的公开密钥对申请进行加密,然后把加密的申请发送给CA。
(5)验证信息。 CA 使用它所需要的任何策略规则,来确定是否给申请人颁发证书。 正如身份验证请求一样,CA 的验证策略和程序影响了证书生成的可信度,这些证书是 由 CA 颁发的。
(6)创建证书。 CA 创建和签署一个数字文档,此文档包含申请人的公开密钥和其 他适当的信息。 CA '的签署使主体名字和主体公开密钥的结合生效。签署过的文档就是 证书。
(7)发送或邮寄证书。 CA 发送证书给申请人,或者邮寄证书给申请人。
2. 数字证书的生命周期
下面分别介绍数字证书的生命周期的各个阶段。
阶段一;安全需求确定。为了确定 PKI 数字证书的安全需求,必须完成以下工作。
(1)标识需要证书的应用程序。在单位内部,确定与把信息暴露给非授权的用户相 关的风险。例如,当交换机密数据时, 一项业务可能正在保护商业伙伴之间的电子邮件 消息。
(2)确定所需要的安全级别。选择所需要的安全级别来保护信息的完整性和保密性 需要考虑的因素是私有密钥的长度、加密技术的算法、证书的生命周期和再生周期。例 如,使用一个较长的私有密钥和一个较短的证书生命周期来为高价值的信息提供安全性。
(3)标识需要证书的用户、计算机和服务。标识用户、计算机和服务,它们将参与 信息的安全交换。例如,确定来自外部伙伴的哪个用户将访问一个内部存货数据库。
(4)确定如何保护私有密钥。选择所需要的安全级别来保护私有密钥。选项包括在 用户的简档里储存私有密钥,或者为了改善安全性,也包括要求使用智能卡储存私有 密钥。
阶段二:证书登记。为了参与一个 PKI, 用户和计算机必须申请和接收来自CA 的 证书。申请和接收一个证书的过程称为登记。通常,通过提供独一无二的信息和一个新 生成的公开密钥, 一个用户启动登记过程。在颁发证书之前, CA 使用已提供的信息来 验证用户的身份。
申请和颁发一个证书的过程随着CA 及其策略的变化而变化,但是总的来说这个过 程可以划分为以下步骤。
(1)生成一个密钥对。申请人制定一个公开和私有密钥对,或者由单位给申请人分 配一个密钥对。
(2)收集登记信息。申请人给CA 提供颁发证书所需要的信息。例如,这些信息可 能包括用户的名字和电子邮件地址,或者包括一个出生证、指纹、公证文档,或者 CA 需要确认申请人身份的其他任何信息。
(3)申请证书申请人发送一个证书申请,它包括用户的公开密钥和另外所需要的 信息。
( 4 ) 用CA 的公开密钥对申请进行加密,然后把加密的申请发送给CA。
(5)验证信息。 CA 使用它所需要的任何策略规则,来确定是否给申请人颁发证书。 正如身份验证请求一样,CA 的验证策略和程序影响了证书生成的可信度,这些证书是 由 CA 颁发的。
(6)创建证书。 CA 创建和签署一个数字文档,此文档包含申请人的公开密钥和其 他适当的信息。 CA '的签署使主体名字和主体公开密钥的结合生效。签署过的文档就是 证书。
(7)发送或邮寄证书。 CA 发送证书给申请人,或者邮寄证书给申请人。
阶段三:证书分发。当用户向一个企业CA 提交证书请求时,请求会立即得到处理, 因为企业CA 使用活动目录来验证用户。证书请求或者立即被拒绝,或者立即给予批准。 如果批准的话,就颁发证书,而且提示用户安装它。
用户可以使用证书申请向导来申请一个证书。证书申请向导允许用户根据用户的访问权力在不同的证书类型中进行选择。
阶段四:证书撤回。当一些与安全有关的事情,如解除与其他公司的合伙关系,在这种情形下某个证书继续有效是不合适的,那么就需要撤回那个证书。
如果发生以下情况时,需要撤回证书:
● 破坏了颁发证书的CA 的安全。
。证书的接受者离开了单位,或者接受者的雇用状态已发生重大变化。
● 破坏了证书的私有密钥(例如, 一个丢失的智能卡)。
。通过欺骗的方式得到一个证书。
。证书颁发给某个人,但是此人不再是一个受信任的伙伴。
需要强调一点:CRL 不会撤回客户机上的所有的证书,仅仅撤回 CRL 中指定的 证书。
CA 证书服务支持使用行业标准的 CRLs 来公布关于撤回的证书的信息。认证机构 在网络上公布CRL 列表,或把它存储在活动目录中,用户和计算机都能够检索它;然后 用户和计算机把CRL 储存在他们当地的高速缓冲存储器中。
公布 CRL 列表必须在需求和冲突之间建立平衡。需求是指尽可能及时地公布 CRL 信息,而冲突是指公布CRL 列表增加了网络通信量和服务器的负载。频繁的 CRL 公布 使证书状态的变化能够很快地被人知道,但是也增加了服务器的负载,网给通信也受到 影响。因为每当CRL 到期和重新公布时,客户都需要下载 CRL, 注意:如果不能够得 到CRL, 那么就不能够验证证书,而且访问也将会被拒绝。
阶段五:证书更新。所有的证书,包括那些颁发给CA 和用户的证书,都有一个有 限的生命周期。当一个证书达到它的截止日期时,它自动变得无效,而且不能够再使用。 需要用有效的日期重新颁发或更新一个到期的证书。
(1)规划CA 证书的生命周期。当CA 给一个用户或计算机颁发一个证书时, CA 确 保新证书的有效期在CA 自己证书的有效期内。这意味着,如果CA 证书的有效期只剩 六个月,那么CA 颁发的新证书的最长有效期是六个月。
用户必须确保CA 证书有一个足够长的生命期,这样就不需要太频繁地更新 CA 颁 发的证书。过多的更新证书可能会给用户添加额外的负担。不论证书在何时到期,用户 都需要与CA 联系,申请一个新的证书,因为用户需要获得已经更新的证书。
(2)规划证书更新。 一个发行CA 直接给用户颁发证书,而不是颁发给其他CA 发 行的CA 负责管理更多的证书,这些证书比一个只给CA 颁发证书的CA 管理的证书还 多。通常用一个新的密钥频繁地更新一个CA 的证书,对任何一个密钥的攻击,对攻击者的价值就降低,对单位 PKI 的伤害就更少。
阶段六:证书审计。使用审计来监控活动,这些活动与证书服务器上证书的颁布有关。
每个CA 维护一个审计踪迹,可以在认证机构管理控制台(MMC) 上观察这个踪迹。 审计踪迹记录了所有的证书请求,也记录了已经颁发了的而目前仍然有效的证书。审计 踪迹记录所有的事务处理,包括失败的请求,也包括所有的信息,这些信息包含在每个 已经颁发的证书中。认证机构 MMC 控制台有能力撤回证书,并且把撤回的证书添加到 撤回列表中。
一个审计踪迹可能需要满足CA 和单位的安全义务。用户能够查询审计踪迹,从而 定位和查看有关的信息,这些信息是关于任何证书申请的信息或CA 已颁发的任何证书 的信息。例如,如果把已颁发的证书用于非法活动或欺诈性的事务,那么可能需要用户 向安全人员或法律人员提供活动的记录。
除此之外,用户也可能需要用审计踪迹记录来监控破坏网络安全的行为。例如,用户能够观察审计踪迹,从而探测失败的证书申请,或确定某人是否用不正确的方法获得证书的。
注意:经过授权,用户能够通过使用认证机构网络接口来查看CA 证书服务日志和 数据库的内容。
