网站安全图标图形

PKI和数字证书-你的问题,答案

PKI和数字证书是保护您的网络和系统的关键工具。理解与PKI相关的各种术语是至关重要的,因此我们将回答您关于PKI的所有问题。

什么是公钥密码学?

公钥密码术是一种加密技术,其中数据的加密和解密是使用单独但相关的加密密钥进行的,一个是私有的,一个是公开的。这种加密技术是公钥基础设施的基础。

什么是公钥基础设施?

公钥基础设施(PKI)是用于管理的策略、活动、技术和过程的集合数字证书还有密钥加密。PKI是在网络各方之间以安全和加密的方式传输信息的基础。

PKI使个人和组织安全地共享和传输信息成为可能。它是电子商务、网上银行、私人电子邮件以及其他需要加密的在线任务。

它通过使用证书和私钥/公钥对来确保电子通信和数据的安全和保护。

PKI是如何工作的?

PKI是基于公钥密码学的。首先是组织请求数字证书。受信任的“证书颁发机构”为链接到数字证书的组织创建密钥。

当双方想要相互通信时,他们根据自己的数字证书检查对方的密钥;这就证明了他们就是他们所说的那个人。这标志着另一部分是受信任的,意味着信息可以加密并在双方之间传递。

什么是证书颁发机构?

一个证书颁发机构,也称为证书服务提供商(CSP),是数字安全证书的可信颁发者,允许在网络或公共互联网上可信地传输和接收数据。

什么是数字证书?

证书颁发机构提供数字证书。数字证书是一种专门的电子凭证,用于证明公钥和密钥持有者身份之间的关系。公钥是密码学的一部分,允许对安全信息进行加密和解密,同时验证信息的发送方和接收方。

什么是合格证书?

一个合格的证书是一种特殊的数字证书,它包含欧洲指令(99/93/EC)规定的最少一组元素。它由合格的CSP生产,符合特定的技术和程序要求。这些要求包括:

  • 自动处理表明该证书是合格的电子签名证书
  • 定义颁发证书的合格信任服务提供者的信息。该信息必须包括:
    • 服务提供者的成员状态
    • 提供者的名称和注册号码
    • 签字人的姓名
    • 电子签名创建和验证数据
    • 证书有效期的开始和结束时间
    • 合格的信任服务提供者的唯一证书标识码
    • (三)符合条件的信托服务提供者的先进电子签名或电子印章

什么是高级电子签名?

一个高级电子签名是一种电子签名,即:

  • 唯一链接到签字人
  • 能够识别签字人
  • 创建使用意味着签字人可以在他的唯一控制下维持
  • 以这样一种方式链接到与其相关的数据,从而可以检测到该数据的任何后续更改

下面定义了管理电子签名的要求关于电子交易的电子识别和信任服务的欧洲规则

什么是合格的电子签名?

QES (Qualified Electronic Signature)是一种符合欧盟指令(99/93/EC)的特殊签名。QES需要:

  • 指令中定义的高级电子签名。目前,只有PKI数字签名(使用非对称加密)满足这些要求。
  • 基于由适当认证的认证服务提供商颁发的合格证书(QC)
  • 通过符合特定条件的安全签名创建设备(SSCD)创建

合格的电子签名是手写签名的数字等价物。合格的电子签名包括由EIDAS定义.它必须满足三个主要标准:

  • 签名者必须与签名者相关联,并被唯一标识
  • 用于创建签名的数据必须由签字人单独控制
  • 它必须能够识别自消息签名以来伴随签名的数据是否已被篡改

什么是CA/B论坛?

认证机构浏览器论坛,也称为CA/浏览器论坛,是一个由认证机构、互联网浏览器软件、操作系统和其他支持pki的应用程序供应商组成的自愿联盟。

什么是扩展验证(EV) SSL证书?

EV SSL是符合CA/B论坛生成的扩展验证指南(evg)的证书。EV SSL验证网站所有者的身份、域名的独家使用及其人员的权限。只有经过evg符合性审计的证书颁发机构才能颁发EV证书。

什么是通配符证书?

通配符证书允许您在单个域名上保护无限的一级子域名。

例如,您可以使用通用名称*.yourdomain.com获得通配符证书。此证书可用于保护相关子域,如:

  • www.yourdomain.com
  • mail.yourdomain.com
  • intranet.yourdomain.com
  • secure.yourdomain.com
  • servername.yourdomain.com

通配符证书不适用于多级子域。例如,*.yourdomain.com的通配符将不适用于www.secure.yourdomain.com或server.name.yourdomain.com。通配符证书的优点是只需要一个证书就可以保护多个子域,而不需要购买和管理多个证书。

有些设备不支持通配符证书,因此需要使用主题替代名称证书。

什么是科目替代名称证书?

SAN (Subject Alternative Name)证书允许一个证书使用SAN字段保护多个不同的域名。SAN证书可以保护多个外部域名和子域名。

例如,一个SAN SSL证书可以保护以下内容:

  • yourdomain.com
  • mail.yourdomain.com
  • autodiscover.yourdomain.com
  • anotherdomain.com
  • anotherdomain.net

部分微软产品需要SAN证书。

如欲了解更多有关PKI的资料,请下载我们的白皮书PKI在保障企业网络安全方面的作用

或了解更多关于数字证书的未来在这篇博文中。

Mrugesh Chandarana是HID Global身份和访问管理解决方案的产品管理总监,他专注于物联网和PKI解决方案。金宝搏官网188金宝搏他在风险管理、威胁和漏洞管理、应用安全和PKI等领域拥有十多年的网络安全行业经验。他曾在RiskSense、WhiteHat Security(被NTT Security收购)和RiskVision(被Resolver, Inc.收购)担任产品管理职位。

最近的帖子