现在的位置: 首页 > 自动控制 > 工业·编程 > 正文

PKI工作原理和组织安全指南(三)

2020-05-09 07:32 工业·编程 ⁄ 共 1538字 ⁄ 字号 暂无评论

一、各类型数字证书的验证功能

数据完整性的数据文件。数字证书具有不同的验证级别:

域验证是最基本的验证类型

它仅涉及CA通过向你发送电子邮件中的链接或要求你将文件上传到站点的Web服务器的特定文件来验证你是否拥有或控制特定域。

组织验证(OV)提供基本的业务验证

此过程需要签发CA才能使用官方的第三方资源来验证你提供的有关组织的信息。这样,它可以确保你是自称的人。

扩展验证(EV)提供了广泛的业务验证

这是这三个验证流程中最深入的一个,要求你的业务存在至少三年并且信誉良好。使用这种类型的证书的优势在于,它可以提供最多的身份保证。

在讨论PKI的工作方式时,我们必须谈论系统不可或缺的数据文件。X.509数字证书有几种类型,可以根据需要在不同情况下保护数据:

SSL/TLS证书

这些证书可保护发送到你的网站或从你的网站发送的数据,并且在单域,多域,通配符和多域通配符选项中可用。

S/MIME证书

也称为电子邮件签名证书,个人身份验证证书和客户端身份验证证书,这些数字证书提供了来自受信任的第三方CA的身份保证。它们可用于对电子邮件进行数字签名和加密,或(作为单个用户)向Web服务器进行身份验证。

代码签名证书

如果你是要提供身份保证的开发人员或发行者,同时还表明你的软件未被篡改,那么这是适合你的证书。这些证书可用于个人验证(IV),组织验证(OV)或扩展验证(EV)。

文档签名证书

文档签名证书通过对文档进行数字签名来验证其未被篡改。(如果文件在签名后被修改,则会弹出警告消息以警告用户。)这些证书可用于签名各种文件,包括Office文档和PDF。

当深入探讨PKI的工作原理时,谈论第三方CA的角色和职责至关重要。一个证书颁发机构,国外的像Sectigo或DigiCert,国内的像沃通,是一个值得信赖的第三方,沃通CA是国家有关部门许可设立的权威CA机构,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质。

什么是信任链?

wps9

http://wotrus.com的信任证书信任链的屏幕截图

(要查看SSL / TLS证书的信任链,请在浏览器中单击挂锁图标,导航到证书信息,然后单击“证书路径”选项卡。)

公钥基础结构的有效性取决于证书链或信任链的有效性。信任链指的是一系列数字证书,这些证书从你单独分配的证书返回到签署该证书的证书颁发机构。

信任链通常包含三个组件-根证书,中间证书和叶(服务器)证书。用树来考虑这些组件是最容易的。

根证书(树的根和树干)

wps10

受信任的根证书的屏幕截图

根证书(也称为受信任的根)是公钥基础结构的核心。每个CA仅颁发少数根证书,并且将它们预下载到大多数浏览器和操作系统中的信任存储或根存储中。它们对应的公共密钥也已预先下载到设备的密钥存储中。

那么,为什么该证书对PKI如此重要?由所有受信任的根证书签名的任何证书都将被所有主要操作系统和浏览器自动视为有效。每个浏览器或操作系统都可以选择默认包含哪些根证书。

中级证书(支持性树枝)

中间证书是位于受信任的根证书和叶证书之间的中介(它充当中介,因此是名称)。基本上,这是中间CA发出的两者之间的缓冲区。

由于证书颁发机构希望保持其根证书的安全,因此通常使用中间证书来颁发叶证书。由于根证书可以脱机存储,这意味着一旦它们签署了中间证书,就不再需要它们并且可以将其保存在安全的位置。这有助于CA确保其根证书私钥是安全的,并且网络罪犯不容易访问它们。

叶子(服务器)证书(叶子和小树枝)

叶证书或最终用户证书(有时也称为最终用户证书)基本上是颁发给你特定域的证书。这种类型的证书的寿命要短得多,在2020年9月1日之前发行的证书的有效期为两年,而在该日期或之后发行的任何证书的有效期都将限制为一年。

给我留言

留言无头像?