联盟链系列 - 证书 - 公钥基础结构(PKI)

最新推荐文章于 2024-11-07 16:25:22 发布
原创 最新推荐文章于 2024-11-07 16:25:22 发布 · 2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密码学 #PKI #CA #联盟链 #证书

本文深入解析公钥基础设施(PKI)的核心概念,包括其在创建、存储和分发数字证书中的作用,以及验证实体公钥的有效性。涵盖PKI的主要组件如CA、RA和证书数据库,同时介绍了一些开源实现,如OpenSSL、EJBCA和XiPKI。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PKI

公钥基础结构(PKI)是用于创建,存储和分发数字证书的系统,这些证书用于验证特定公钥是否属于某个实体。PKI创建将公共密钥映射到实体的数字证书,将这些证书安全地存储在中央存储库中,并在需要时将其吊销。

一个 public key infrastructure(PKI)是一组角色,策略,硬件,软件和创建,管理,分发所需的程序,使用,储存和吊销数字证书和管理公共密钥加密。

PKI至少包括如下核心组件:

  • CA(Certification Authority):负责证书的颁发和作废,接收来自RA的请求,是最核心的部分;
  • RA(Registration Authority):对用户身份进行验证,校验数据合法性,负责登记,审核过了就发给CA;
  • 证书数据库:存放证书,多采用X.500系列标准格式。可以配合LDAP目录服务管理用户信息。
  • [option]VA (验证机构): 托管CRL(证书吊销列表), 提供用于验证数字证书有效性的服务
    在这里插入图片描述
    常见的操作流程为,用户通过RA登记申请证书,提供身份和认证信息等;CA审核后完成证书的制造,颁发给用户。用户如果需要撤销证书则需要再次向CA发出申请

参考: PKI - WIKI

开源实现

  • OpenSSL是CA和PKI工具的最简单形式。它是一个用C语言开发的工具包,已包含在所有主要的Linux发行版中,可用于构建自己的(简单的)CA和启用PKI的应用程序。(Apache许可
  • EJBCA是用Java开发的功能齐全的企业级CA实施。它既可以用于内部使用也可以作为服务设置CA。(LGPL许可
  • XiPKI,[26] CA和OCSP响应者。具有SHA3支持,以Java实现。(Apache许可
  • OpenCA是使用许多不同工具的功能齐全的CA实施。OpenCA使用OpenSSL进行基础PKI操作。
  • XCA是图形界面和数据库。XCA使用OpenSSL进行基础PKI操作。
  • (已停产)TinyCA是OpenSSL的图形界面。
  • IoT_pki是使用python 加密库构建的简单PKI
  • DogTag是功能齐全的CA,作为Fedora项目的一部分进行开发和维护。
  • CFSSL [27] [28]CloudFlare开发的开放式源代码工具包,用于签名,验证和捆绑TLS证书。(BSD 2条款许可
  • HashiCorp开发的用于安全管理机密(包括TLS证书)的Vault [29]工具。(获得Mozilla Public License 2.0许可
  • Libhermetik是一个嵌入在C语言库中的自包含公钥基础结构系统。Hermetik将LibSodium用于所有加密操作,并将SQLite用于所有数据持久性操作。该软件是开源的,并根据ISC许可发布。
基于联盟链的分布式数字证书管理系统
罗伯特技术屋
01-04 551
此外,传统的身份管理系统是中心化的,通常会有单点故障隐患及缺乏互操作性的问题。本文提出一种基于联盟链的分布式数字证书管理系统,将区块链作为 PKI 的完整性保护的“公告板”来支持数字证书的发布、更新、认证和废除,多个 CA 中心和政府管理部门作为联盟链的记账节点,共同管理一个分布式、难以篡改的公开证书账本,并支持实时的证书状态查询和证书有效性认证,具有全网公开可访问、可信验证、操作成本低廉等优势,数字证书全生命周期管理支持政府管理部门的监督和审核,极大地提升了证书管理的透明性、权威性和防伪造性。
基于联盟链的物联网设备身份认证方法
罗伯特技术屋
02-10 766
物联网应用在当今社会中发挥着重要作用,其中来自不同域的设备在同一任务上协作,迫切需要设备身份认证技术来保证物联网应用的安全性。此外,由于物联网设备具有分布广、应用场景复杂、节点性能差异性大等特点,导致其身份认证效率较低。现有的身份验证方法存在密钥管理开销大、依赖于可信的第三方等问题,因此提出一个物联网设备身份认证分布式存储整体架构。将物联网设备基本信息存入联盟链中,利用分布式物联网设备身份认证机制,设计设备注册联盟链联盟链验证设备的详细流程。
PKI公钥基础设施)之证书的信任链(数字证书链)
FunFei123的博客
05-07 4432
1 介绍 前面的“证书之什么是数字签名?”简单科普了一下为什么要使用证书。其实这些以及后面要科普的都是整个公钥基础设施PKI(Public key infrastructure)体系中一部分。下面介绍什么是数字证书的信任链。 证书链是一个有序的证书列表,包含SSL证书证书颁发机构(CA证书,使接收方能够验证发送方和所有CA是否值得信任。链或路径以S...
PKI公开密钥基础设施
seacean2000的专栏
02-19 4779
PKI基本概念 公钥基础设施PKI,是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证、行为不可抵赖性为目的,实施和提供安全服务的具有普遍适用性的安全基础设施。它是目前支持安全5要素的唯一可行的技术。 一个网络的PKI包括以下几个基本的构件: 1.数字证书,由认证机构经过数字签名后发给网上交易主体的一段电子文档。它提供了PKI的基础。 2.认证中心(CA),是PKI的核心。它是第
如何构建私有公钥基础设施
ddk4044的博客
08-28 147
相当复杂的现代Web服务大多数都不是由单体应用提供。为了处理复制的操作,应用程序通常被分解成许多服务,分别处理业务逻辑或数据存储的不同部分。这些服务可能部署在不同的机器甚或是不同的数据中心。在CloudFlare,随着服务的增加,应用程序之间安全通信的需求也在增长。他们需要一种简单、可维护的方法来确保CloudFlare内部服务之间的所有通信都始终处于安全保护之下。因此,他们基于已知...
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
weixin_44894960的博客
09-25 565
物联网在蓬勃发展的同时,不可避免地会面临一些隐私和安全问题。 如同个人的护照、身份证一样,互联网上的数字证书可以对各类接入设备进行身份标识,是一种重要的安全认证措施。除此以外,还可利用数字证书对通过网络进行传输的数据进行加密,确保数据隐私及不可篡改性。而对于海量、异构的物联网设备来说,构建统一、基于数字证书的标准化身份认证体系对于实现安全、自动化的M2M(机器对机器)交互至关重要。 讯琥科技的联盟链(SnapScale DLT)融合了5G、多接入边缘计算(MEC)和分布式账本技术(DLT...
PKI】【CA】【证书签发】
weixin_45734052的博客
03-19 3347
PKI/CA证书签发
联盟链基础应用和区块服务架构
hongyucai的博客
04-06 785
概念理解: 联盟链 Fabric Fabric是许可制区块链平台,因为它要求每个参与者必须持有可信证书 Fabric支持在同一个物理网络之上建立多个不同的区块链,每个区块链都有自己的访问控制机制 包括三大组件:区块链服务(Blockchain)、链码服务(Chaincode)、成员权限管理(Membership) Fabric架构设计 客户端:客户端应用使用 SDK 来跟 Fabric 打交道,构造合法的交易提案提交给 endorser;收集到足够多 endorser 支持后可以构造..
Dogtag PKI 项目安装与使用教程
gitblog_00388的博客
09-25 1099
Dogtag PKI 项目安装与使用教程 1. 项目目录结构及介绍 Dogtag PKI 项目的目录结构如下: pki/ ├── base ├── cmake ├── docs ├── tests ├── themes ├── tools ├── classpath ├── dockerignore ├── gitignore ├── gitlab-ci.yml ├── packit.yaml ├...
Linux下创建私有CA服务器
码农崛起
07-19 3873
什么是证书?   它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。   理论上,人人都可以找个证书工具,自己做一个证书。 什么是CA?   CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书?   CA证书,就是CA颁发的证书。   前面说...
SharpOCSP:用 C# 编写并使用 BouncyCastle 的开源多线程 OCSP 响应器
06-08
夏普OCSP 用 C# 编写并使用 BouncyCastle 的开源多线程 OCSP 响应器。 欢迎拉请求!
开源项目-micromdm-scep.zip
09-03
开源项目-micromdm-scep.zip,SCEP server/library for Go
PKI体系(公开密钥体系)介绍
03-30
本PPT详细介绍的PKI公开密钥体系的加解密过程、数字签名的过程,并说明如何获取数字证书以及数字证书的备份、导入等操作。
【亲测免费】 探索强大而灵活的开源PKI系统:XiPKI
gitblog_00040的博客
05-22 809
探索强大而灵活的开源PKI系统:XiPKI XiPKI,一个高度可扩展和高性能的开放源代码PKI证书颁发机构和在线证书状态协议响应者),是你在公共密钥基础设施领域寻找解决方案的理想选择。这款软件以其强大的功能、广泛的平台支持和优秀的性能脱颖而出。 项目介绍 XiPKI是一个基于Apache 2许可的项目,其目标是构建一个易于管理且适用于各种环境的PKI系统。它提供了包括EST、SCEP、CMP、...
XiPKI:高性能公钥基础设施的崭新里程碑
gitblog_00243的博客
08-16 283
XiPKI:高性能公钥基础设施的崭新里程碑 在当今数字化世界中,安全性和性能是关键考虑因素。随着数据量和网络需求的增长,对高可扩展且高效能的公共密钥基础设施(PKI)解决方案的需求日益增长。在此背景下,我们自豪地介绍了XiPKI——一个革命性的开源PKI系统,旨在满足最苛刻的安全要求。 技术深度剖析:XiPKI的卓越之处 广泛平台兼容性 XiPKI的设计充分考虑了跨平台支持 ...
XiPKI 开源项目安装与使用教程
gitblog_00477的博客
08-15 732
XiPKI 开源项目安装与使用教程 项目介绍 XiPKI(eXtensible sImple Public Key Infrastructure)是一款高可扩展且高性能的开源公钥基础设施实现,涵盖了CA证书颁发机构)和OCSP(在线证书状态协议)响应器。该项目基于Apache 2.0许可,旨在提供一套完整的解决方案,以满足企业在不同场景下的数字证书管理和验证需求。 项目快速启动 获取源码或二进制...
XiPKI 项目常见问题解决方案
最新发布
gitblog_00785的博客
11-07 500
XiPKI 项目常见问题解决方案 项目基础介绍 XiPKI(eXtensible sImple Public Key Infrastructure)是一个高度可扩展和高性能的开源PKI公钥基础设施)项目,主要用于CA证书颁发机构)和OCSP响应器。该项目支持多种证书协议,如ACME、CMP和EST。XiPKI的主要编程语言是Java,适用于Linux、Windows和MacOS操作系统,并支持...
PKI体系
charles_lun专栏
07-09 6012
在非对称加密中,公钥可以通过证书机制来进行保护,但证书的生成、分发、撤销等过程并没有在 X.509 规范中进行定义。 实际上,如何安全地管理和分发证书可以遵循 PKI(Public Key Infrastructure)体系来完成。 PKI 体系核心解决的是证书生命周期相关的认证和管理问题,在现代密码学应用领域处于十分基础和重要的地位。 需要注意,PKI 是建立在公私钥基础上实现安全可靠传递...
联盟链系列 - RootCA颁发证书
搬砖魁首的博客
12-26 2193
介绍X509证书使用的密钥算法, 并使用openssl生成
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

搬砖魁首

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值