CA中心的概念
數(shù)字證書認(rèn)證中心(Certficate Authority,CA)就是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。對(duì)于一個(gè)大型的應(yīng)用環(huán)境��,認(rèn)證中心往往采用一種多層次的分級(jí)結(jié)構(gòu)��,各級(jí)的認(rèn)證中心類似于各級(jí)行政機(jī)關(guān),上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書��,最下一級(jí)的認(rèn)證中心直接面向最終用戶����。 認(rèn)證中心主要有以下幾種功能:
(1) 證書的頒發(fā)
中心接收�����、驗(yàn)證用戶(包括下級(jí)認(rèn)證中心和最終用戶)的數(shù)字證書的申請(qǐng),將申請(qǐng)的內(nèi)容進(jìn)行備案��,并根據(jù)申請(qǐng)的內(nèi)容確定是否受理該數(shù)字證書申請(qǐng)��。如果中心接受該數(shù)字證書申請(qǐng)��,則進(jìn)一步確定給用戶頒發(fā)何種類型的證書��。新證書用認(rèn)證中心的私鑰簽名以后,發(fā)送到目錄服務(wù)器供用戶下載和查詢�����。為了保證消息的完整性��,返回給用戶的所有應(yīng)答信息都要使用認(rèn)證中心的簽名��。
(2) 證書的更新
認(rèn)證中心可以定期更新所有用戶的證書�����,或者根據(jù)用戶的請(qǐng)求來更新用戶的證書�����。
(3) 證書的查詢
證書的查詢可以分為兩類��,其一是證書申請(qǐng)的查詢,認(rèn)證中心根據(jù)用戶的查詢請(qǐng)求返回當(dāng)前用戶證書申請(qǐng)的處理過程�����;其二是用戶證書的查詢,這類查詢由目錄服務(wù)器來完成��,目錄服務(wù)器根據(jù)用戶的請(qǐng)求返回適當(dāng)?shù)淖C書��。
(4) 證書的作廢
當(dāng)用戶的私鑰由于泄密等原因造成用戶證書需要申請(qǐng)作廢時(shí)��,用戶需要向認(rèn)證中心提出證書作廢的請(qǐng)求�����,認(rèn)證中心根據(jù)用戶的請(qǐng)求確定是否將該證書作廢�����。另外一種證書作廢的情況是證書已經(jīng)過了有效期����,認(rèn)證中心自動(dòng)將該證書作廢����。認(rèn)證中心通過維護(hù)證書作廢列表(Certificate Revocation List,CRL)來完成上述功能��。
(5) 證書的歸檔
證書具有一定的有效期�����,證書過了有效期之后就將作廢�����,但是我們不能將作廢的證書簡(jiǎn)單地丟棄,因?yàn)橛袝r(shí)我們可能需要驗(yàn)證以前的某個(gè)交易過程中產(chǎn)生的數(shù)字簽名����,這時(shí)我們就需要查詢作廢的證書?�;诖祟惪紤]����,認(rèn)證中心還應(yīng)當(dāng)具備管理作廢證書和作廢私鑰的功能��。