公钥基础结构(PKI) 作为一个术语,描述用于保护互联网通信和交易的系统和组件。 本文将详细介绍各种 PKI 组件以及它们如何在 PKI 生态系统。 如果您是希望加强网络安全的公司所有者,或者只是对公钥基础设施感兴趣的任何人,这篇文章将为您提供一些实用且扎实的示例。
在哪里 PKI 用过的?
的讨论 PKI 会很快导致你 SSL(安全套接层)/TLS (传输层安全性),这需要一个私钥和一个公钥。 私钥保存在 Web 服务器上。 公钥嵌入在 SSL 证书中。 当您访问一个网站时,您会看到地址栏左侧的那个锁,并且 URL 显示 “HTTPS”(与 HTTP 相对),您的浏览器将自动下载该公钥和证书,以确认该网站确实是它所呈现的身份。 如果有任何东西没有通过这个交换,浏览器会给你一个错误警告。 浏览器会在一瞬间完成证书和密钥的这种交换。
私钥保存在 Web 服务器上。 除了网站上的授权人员之外,任何人都不会发现这一点。 公钥分发给你、我和其他所有人。
如何 PKI 在浏览器中工作?
私钥和公钥是一对。 假设 Bob 有一个私钥,Sally 和 Joe 有公钥。 Sally 和 Joe 无法相互通信,因为他们都有公钥。 Bob 知道他收到的任何消息都来自拥有公钥的人。
Sally 和 Joe 如何知道他们正在与一个自称 Bob 的人交流? 这就是证书发挥作用的地方。 为了让 Sally 和 Joe 知道他们实际上是在与 Bob 互动,他的证书将证实这一点。 该证书由 SSL.com 之类的证书颁发机构签署,并且无论他们使用何种平台(在本例中为浏览器),该证书都将受到信任。
公钥和私钥是计算密集型的。 为了使用当今的计算技术获得舒适的加密级别,公钥大小至少为 2048 位。 您可以将它们提高到 4096,这要密集得多。 它更安全,但有一个收益递减点。 2048是大多数人使用的。 另一方面,使用密钥,您可以将其设置为 256 位。
什么是 SSL 握手?
An SSL /TLS 握手 是网络上的两方(例如浏览器和Web服务器)之间的协商,以建立其连接的详细信息。 它确定哪个版本的 SSL /TLS 将在会话中使用,该密码套件将加密通信,验证服务器(有时也是 客户),并在传输数据之前建立安全连接。 你可以阅读 我们的指南中的更多详细信息.
如何 PKI 启用安全电子邮件?
在一定程度上,SSL/TLS 握手也适用于 安全/多用途互联网邮件扩展(S/MIME). 这与您访问网站并获得证书并不完全相同。 通过 SSL 握手,它会持续一个会话,比如说五分钟,然后流量就消失了。 当你这样做时 S/MIME,这是相同的概念,但您的电子邮件可能会持续数年。
为了说明如何 PKI 有助于确保电子邮件交换安全,让我们再次使用以前的字符。 Sally 将她的公钥发送给 Bob S/MIME 证书,她会收到鲍勃的电子邮件 S/MIME 证书也是如此。 而且由于他们都有自己的私钥,所以他们可以互相加密电子邮件。 一个 S/MIME 证书确实允许您发送多方电子邮件,只要您拥有每个人的 S/MIME 组中的证书,你可以给每个人发电子邮件,他们可以对你做同样的事情。 通常,如果您使用的是通用电子邮件客户端,并且您尝试向一群人发送加密电子邮件,则它应该警告您,如果您没有 S/MIME 对于特定的人,在这种情况下,您将无法加密电子邮件。
加密和认证如何体现 S/MIME?
我们还要区分加密和身份验证。 如果我问你 S/MIME 你要我的 S/MIME,我们可以发送加密的电子邮件。 但是,如果我使用我的电子邮件签名 S/MIME 证书并将其发送给您,我可以签署一封电子邮件,它将被加密,但您知道它来自我。
所以如果我得到一个 S/MIME SSL.com 颁发的证书,我在电子邮件上签名,然后将其发送给您,而您没有将您的 S/MIME 证书,我们将无法发送和解密加密的电子邮件。 但是你仍然可以看到我的电子邮件是用 S/MIME SSL.com 颁发的证书,它应该说明发件人的姓名和经过验证的信息。
无法验证的信息不会出现在证书上。 如果它是公共信任的证书,这意味着它受到流行平台的信任,则需要根据基线要求进行验证,这些要求是 CA 浏览器表单汇总的最低标准。
是什么 PKI 证书?
公钥如何在那里分发以及如何将身份附加到它? 是通过证书。 这就是证书颁发机构所做的,它颁发您可以附加到公钥并分发它的证书。
为了颁发证书,需要遵循某些标准。 证书颁发机构必须了解您有权使用该证书以及该证书中嵌入的任何信息。 因此,当我们颁发该证书时,浏览器会信任它。
什么是 X.509 PKI 证书?
X.509 就像一个干细胞。 它基本上是具有某些字段的格式。 在你知道它是什么类型的证书之前,它开始是这个受精卵。 在成为 SSL 证书之前,有一些关于可以在此处填充哪些信息的规则。 同样的事情 S/MIME、代码签名、文档签名、客户端身份验证以及未来可能出现的其他证书。 除 SAN 外,以下字段构成主题专有名称。
- 通用名称 (CN) – 通常,这是作为证书主题显示的名称。 对于 SSL 证书,这是指域名。 它必须具有全球支持的顶级域扩展名(即 .com;.net;.io)。 实际上有数百个,现在可能有数千个,我们必须能够容纳所有这些。
- 组织 (O) – 公司或网站所有者
- 组织单位 (OU) – 类似于一个部门:IT、财务、人力资源
- 地区 (L) – 基本上是一个城市
- 州 (ST) – 区域位置,也称为省,取决于国家/地区
- 国家 (C) – 国家代码
- 主题备用名称 (SAN) – X.509 的扩展,用于识别由一个 SSL 证书保护的主机名。
的组成部分是什么 PKI 生态系统?
- 证书颁发机构 - 是一家颁发在各种平台上批准的可信证书的公司,最常见的是浏览器:Google Chrome、Safari、Firefox、Opera、360。 PKI, CA 是指颁发证书的发行公司或机构。
- 注册机构——这通常会进行验证。 它会做一些准备工作,一旦所有工作都完成,它就会向 CA 发送证书颁发请求。 RA 也可以是公司、应用程序或组件。
- 供应商——这是浏览器
- 订户 – 购买证书的网站所有者(即为其员工购买证书的公司)
- 依赖方 – 最后使用证书的人
什么是私人 PKI?
你能关门吗 PKI 这不是公众信任的? 是的,例如封闭环境中的物联网设备。 例如,您可以让三星并且只有三星产品才能相互通信: 电视、电话、音响。 私下 PKIs,可以禁止来自外部第三方的设备与内部系统进行通信。 它们可以很小,也可以很大。 有 PKIs 拥有数十个设备和 PKIs 拥有数百万台设备。
什么是未来 PKI?
技术在不断发展。 私有实例 PKI 不亚于网络 PKI,因为即使一家公司使用私人 PKI,与 SSL.com 之类的 CA 合作仍然是明智之举,该 CA 每年都会进行审计,并拥有致力于通过将私钥锁定并保持离线状态来保护私钥完整性的专业人员。
T他更 PKI 生态系统有关于基线要求的讨论,替换这项技术越困难。 您可以在域注册时放置证书并安装它们,但无法轻松移植策略。
即使量子计算即将出现并且技术未来发生变化,对安全隐私和身份验证的需求也不会消失。 如果新技术出现,该行业将适应。 我们从事信托业务,这不会消失。
