证书

PKI

PKI（公钥基础设施）是一个集合体，由一系列的软件、硬件、组织、个体、法律和流程组成。
主要目的就是向客户端提供服务器身份认证。
认证的基础就是必须找到一个可信的第三方。
认证的技术方案就是数字签名技术。
第三方组织能够使用数字签名技术管理组织，包括创建、存储、更新、撤销证书。

PKI涉及的领域比较广泛，是一个相对松散的概念。

X.509

为了规范化PKI技术，出现很多标准，最常用的标准是X.509标准.
证书是PKI中最重要、最核心的内容。
通常，人们提到的证书也可以认为是X.509标准证书。

X.509有三个版本。
最常用的是V3版本。
V2版本修复了一些潜在问题；
V3引入了扩展，使证书更加规范。

pki组成.png

• 服务器实体：证书的申请者。比如www.example.com可以申请一张证书，证书可以证明他的身份，作用就和身份证、护照一样。
• CA机构：证书签发机构。在审核服务器的信息后，给其签发证书。证明使用CA机构的密钥对对服务启实体证书进行签名。
• OCSP：说明了证书的状态，比如是否吊销。他和CRL的作用基本一样。
  OCSP比CRL更新，服务更好，能够更好的核实证书。但是一些旧的浏览器还不支持OCSP协议。

ASN.1和X.509

谈起证书，都会提到ASN.1。
ASN.1也是一种标准，用来结构化描述证书。
可以这样理解：
X.509规范了证书的内容，ASN.1类似于伪代码，用来描述X.509.