CA系统设计:
|
组成 |
作用 |
|
证书吊销列表(crl) |
文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等 |
|
CA服务器(demoCA) |
CA服务器是整个证书机构的核心,负责证书的签发 |
|
客户端 |
生成签名请求(csr),生成向CA服务器发送证书申请csr,从CA 处接收签名 |
|
证书序列号管理机制( serial) |
每次证书生成完毕,下一次生成证书的序列号增1 |
|
吊销序列号管理机制(crlnumber) |
每吊销一次证书,吊销序列号增一 |
|
CA证书存放机构(certs) |
存放生成好的客户请求证书(crt以及p12类型) |
|
证书索引数据库(index.txt) |
证书状态信息(可用or吊销)、版本号、客户端请求信息 |
|
CA私钥库(private) |
存放生成CA证书的私钥 |
|
证书请求信息库(csr) |
存放客户端证书请求(csr) |
|
证书信息库(newcerts) |
证书版本号、签名算法、Issuer、Validity、Subject、公钥算法、密钥长度、证书信息 |
(二)CA系统功能
一.总流程:
- 客户端申请证书:
① 客户端生成私钥和请求信息csr
② 将csr发送给CA
- CA服务器签发证书
① 创建私有CA
(1) 生成证书索引数据库文件(index.txt)
(2) 指定第一个颁发证书的序列号(serial)
② 生成CA私钥
③ 生成自签名证书
④ 查看CA证书信息
⑤ CA 签署证书,并将证书颁发给客户端
⑥ 查看证书中的信息
⑦ 查看指定编号的证书状态
- 吊销证书
① 在客户端(A端)获取要吊销的证书的serial(编号)
② 在CA(B端) 上,根据客户提交的serial 与subject 信息,对比检验是否与index.txt 文件中的信息一致,确认就吊销证书
③ 指定第一个吊销证书的编号
④ 更新证书吊销列表,将来将吊销的列表放到互联网上,让大家知道
⑤ 查看crl 吊销文件
二.组成部分:
①证书吊销列表(crl)
Eg:
②CA服务器(demoCA)
③证书序列号管理机制(serial):
④吊销序列号管理机制(crlnumber)
⑤CA证书存放机构:(certs)
⑥证书索引数据库(index.txt)
⑦CA私钥库(private)
⑧证书请求信息库(csr)
⑨证书信息库(newcerts)
Eg:02.pem