PKI/CA CA功能细分

Posted 2021-06-08 thefist11

1.1 KMC（Key Management Center）

用户公私钥对由KMC产生，KMC对私钥做备份；公私钥也可由用户自己产生，并将私钥安全提交给KMC做备份。

• 关于双证书
  为防止用户身份被冒用，应保证用户私钥的唯一性，不允许备份恢复；为防止公钥加密后的数据无法解密，应提供用户私钥的备份恢复机制。
  为解决这两种矛盾需求，PKI引入了双证书机制：签名证书和加密证书。
  签名证书的公私钥对由用户自己产生，KMC不备份私钥；加密证书密钥对由KMC产生，且KMC对加密私钥进行备份。

1.2 LDAP（Light-weight Directory Access Protocol 轻量目录访问协议）

为解决对CA证书的查询或下载的性能问题，PKI引入 LDAP技术。

DAP（Directory Access Protocol 目录访问协议）是对数据管理的读取功能进行特殊优化的技术，适合快速响应和大容量的查询服务，应用系统只需通过X.500协议就能对数据进行快速查询。但由于该协议过于复杂，国际组织对其进行简化，形成了LDAP标准。