PKI/CA 根CA信任模型“证书构建”

Posted 2021-06-08 thefist11

1. CA根认证机构

1.1 CA的构建

step1. 生成公钥 ca_KeyPub 、私钥 ca_KeyPri
step2. 基本信息表 ca_Info(含CA的名称、证书的有效期等信息)。
step3. 散列运算: ca_Hash = Hash(ca_KeyPub + ca_Info)
step4. 用私钥 ca_KeyPri 对 ca_Hash 进行签名，得到加密的散列值 enc_ca_Hash
step5. 得到ca_Cert根证书:(ca_KeyPub + ca_Info + enc_ca_Hash)
ca_Cert可用于签署下一级的证书。

1.2 对下级认证机构的证书签署

step1. 下级认证机构生成：公钥 s_KeyPub 、私钥 s_KeyPri、基本信息表 s_Info(包含了名称、证书要求的有效期等信息)

step2. 下级认证机构将 s_KeyPub、s_Info 送给根认证机构CA

step3. CA通过RA验证Server的身份之后，计算s_Hash = HASH(s_KeyPub + s_Info + ca_Info)

step4. CA使用其私钥 ca_KeyPri 对 s_Hash 进行签名，得到散列值 enc_s_Hash

step5. CA将(s_KeyPub + s_Info + ca_Info + enc_s_Hash)组合签署成数字证书s_Cert并回送给下级认证机构。(s_Cert不可用于签署下一级的证书)

下级或更多级认证机构证书签署流程类似。