WindowsCA_证书服务器配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
CA的架构
CA认证的主要工具是CA中心为网上作业主体颁发的数 字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密 算法、数字签名技术、身份认证技 术、运行安全管理技术、 可靠的信任责任体系等等。从业务流程涉及的角色看, 包括 认证机构、数字证书库和黑名单库、密钥托管处理系统、证 书目录服务、证书审批和作废处理系统。从CA的层次结构来 看, 可以分为认证中心(根CA)、密钥管理中心(KM)、 认证下级中心(子CA)、证书审批中心(RA中心)、证书 审批受理点(RAT)等。CA中心一般要发布认证体系声明书, 向服务的对象郑重声明CA的政策、保证安全的措施、服务的 范围、服务的质量、承担的责任、操作流程等条款。
书是由权威公正的第三方机构即CA中心签发的,它在证书申 请被认证中心批 准后,通过登记服务机构将证书发放给申请
者。
14
CA中的数字证书
数字安全证书是一个经证书授权中心数字签名的包含公 开密钥拥有者信息以及公开密钥的文件。最简单的证书包含 一个公开密钥、名称以及证书授权中心的数字 签名。一般情 况下证书中还包括密钥的有效时间,发证机关(证书授权中心) 的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字安全证书包含以下一 些内容:
10
CA的架构
密钥的管理政策是把公钥和实体绑定,由CA中心把实体 的信息和实体的公钥制作成数字证书,证书的尾部必须有CA 中心的数字签名。由于CA中心的数字签名是不可伪造的,因 此实体的数字证书不可伪造。CA中心对实体的物理身份资格 审查通过后,才对申请者颁发数字证书,将实体的身份与数 字证书对应起来。由于实体都信任提供第三方服务的CA中心, 因此,实体可以信任由CA中心颁发数字证书的其他实体,放 心地在网上进行作业和交易。
5
1.CA中心
认证中心(CA─Certificate Authority)作为权威的、可 信赖的、公正的第三方机构,专门负责发放并管理所有参与 网上交易的实体所需的数字证书。它作为一个权威机构,对 密钥进 行有效地管理,颁发证书证明密钥的有效性,并将公 开密钥同某一个实体(消费者、商户、银行)联系在一起。 它负责产生、分配并管理所有参与网上信息交换各方所需的 数字证书,因此是安全电子信息交换的核心。
15
CA中心的作用
CA为电子商务服务的证书中心,是PKI(Public Key Infrastructure)体系的核心。它为客户的公开密钥签发公钥 证书、发放证书和管理证书,并提供一系列密钥生命周期内 的管理服务。它将客户的公 钥与客户的名称及其他属性关联 起来,为客户之间电子身份进行认证。证书中心是一个具有 权威性、可信赖性和公证性的第三方机构。它是电子商务存 在和发展的基础。
6
1.CA中心
为保证客户之间在网上传递信息的安全性、真实性、可 靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性 进行验证,也需要有一个具有权威性、公正性、唯一性的机 构,负责向电子商务的各个主体颁发并管理符合国内、国际 安全电子交易协议标准的安全证书。
数字证书管理中心是保证电子商务安全的基础设施。它 负责电子证书的申请、签发、制作、废止、认证和管理,提 供网上客户身份认证、数字签名、电子公证、安全电子邮件 等服务等业务。
11
CA的职责
CA中心主要职责是颁发和管理数字证书。其中心任务是颁发 数字证书,并履行用户身份认证的责任。CA中心在安全责任 分散、运行安全管理、系统安全、物理安全、数据库安全、 人员安全、密钥管理等方面,需要十分严格的政策和规程, 要有完善的安全机制。另外要有完善的安全审计、运行监控、 容灾备份、事故快速反应等实施措施, 对身份认证、访问控 制、防病毒防攻击等方面也要有强大的工具支撑。
13
CA中的数字证书
数字安全证书就是标志网络用户身份信息的一系列数据,
用来在网络通讯中识别通讯各方的身份,即要在Internet上解 决"我是谁"的问题,就如同现实中我们每一个人都要拥有一 张证明个人身份的身份证或驾驶执照一样,以表明我们的身
份或某种资格。
在网上电子交易中, 商户需要确认持卡人是信用卡或借
证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名
其他客户继续使用该公钥来加密重要信息,而使非法客户
有盗取机密的可能。一般而言,在电子商务实际应用中,
可能会较少出现私 钥泄露的情况,多数情况是由于某个客
户由于组织变动而调离该单位,需要提前吊销代表企业身
份的该客户的证书。
20
2.服务器证书
服务器证书是SSL数字证书的一种形式,意指通过提交 数字证书来证明您的身份或表明您有权访问在线服务。再者 简单来说,通过使用服务器证书可为不同站点提供身份鉴定 并保证该站点拥有高强度加密安全。然而,并不是所有网站 都需要添加服务器证书,但强烈建议只要是与用户、服务器 进行交互连结操作,以及涉及到密码、隐私等内容的网站页 面,才需要服务器安全认证证书。
16
CA中心的作用
自身密钥的产生、存储、备份/恢复、归档和销毁
从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密 钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生, 并存储于加密硬 件内,或以一定的加密形式存放于密钥数据库内。 加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保 护起来。密钥的销毁要以安全的密钥冲写标 准,彻底清除原有的 密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄 露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照 最高安全级 的保护方式来进行设置和管理。
17
CA中心的作用
为认证中心与各地注册审核发放机构的安全加密通信提供 安全密钥管理服务
在客户证书的生成与发放过程中,除了有CA中心外,还有注册机 构、审核机构和发放机构(对于有外部介质的证书)的存在。行业 使用范围内的证书, 其证书的审批控制,可由独立于CA中心的行 业审核机构来完成。CA中心在与各机构进行安全通信时,可采用 多种手段。对于使用证书机制的安全通信,各机构 (通信端)的 密钥产生、发放与管理维护,都可由CA中心来完成。
4
1.CA中心
电子商务的安全是通过使用加密手段来达到的,非对称 密钥加密技术(公开密钥加密技术)是电子商务系统中主要 的加密技术,主要用于对称加密密钥的分发(数字信封)、 数字签名的实现(进行身份认证和信息的完整性检验)和交易防 抵赖等。CA体系为用户的公钥签发证书,以实现公钥的分发 并证明其合法性。该证书证明了该用户拥有证书中列出的公 开密钥。证书是一个经证书授权中心数字签名的包含公开密 钥拥有者信息以及公开密钥的文件。证书的格式遵循X.509标 准。
21
SSL证书
SSL证书是数字证书的一种,类似于驾驶证、护照和营 业执照的电子副本。
SSL证书通过在客户端浏览器和Web服务器之间建立一 条SSL安全通道(Secure socket layer(SSL)安全协议是由 Netscape Communication公司设计开发。该安全协议主要 用来提供对用户和服务器的认证;对传送的数据进行加密和 隐藏;确保数据在传送中不被改变,即数据的完整性,现已 成为该领域中全球化的标准。由于SSL技术已建立到所有主 要的浏览器和WEB服务器程序中,因此,仅需安装服务器证 书就可以激活该功能了)。即通过它可以激活SSL协议,实 现数据信息在客户端和服务器之间的加密传输,可以防止数 据信息的泄露。保证了双方传递信息的安全性,而且用户可 以通过服务器证书验证他所访问的网站是否是真实可靠。
12
CA的职责
CA中心的证书审批业务部门则负责对证书申请者进行资 格审查,并决定是否同意给该申请者发放证书,并承担因审 核错误引起的、为不满足资格的证书申请者发放证书所引起 的一切后果,因此,它应是能够承担这些责任的机构担任; 证书操作部门(Certificate Processor,简称CP)负责为已 授权的申请者制作、发放和管理证书, 并承担因操作运营错 误所产生的一切后果,包括失密和为没有授权者发放证书等, 它可以由审核业务部门自己担任,也可委托给第三方担任。
记卡的合法持有者,同时持卡人也必须能够鉴别商户是否是
合法商户,是否被授权接受某种品牌的信用卡或记卡支付。
为处理这 些关键问题,必须有一个大家都信赖的机构来发放
数字安全证书。数字安全证书就是参与网上交易活动的各方
(如持卡人、商家、支付网关) 身份的代表,每次交易时,
都要通过数字安全证书对各方的身份进行验证。数字安全证
7
1.CA中心
随着认证中心(或称CA中心)的出现,使得开放网络的安 全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、 数字签名、数字信封等加密技术,可以建立起安全程度极高 的加解密和身份认证系统,确保电子交易有效、安全地进行, 从而使信息除发送方和接收方外,不被其他方知悉(保密 性);保证传输过程中不被篡改(完整性和一致性);发送 方确信接收方不是假冒的(身份的真实性和不可伪装性); 发送方不能否认自己的发送行为(不可抵赖性)。
3
1.CA中心
CA中心为每个使用公开密钥的用户发放一个数字证书, 数字证书的作用是证明证书中列出的用户合法拥有证书中列 出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡 改证书。在SET交易中,CA不仅对持卡人、商户发放证书, 还要对获款的银行、网关发放证书。它负责产生、分配并管 理所有参与网上交易的个体所需的数字证书,因此是安全电 子交易的核心环节。
密码学
Windows_CA_证书服务器配置
1
目录
2
1.CA中心
CA中心又称CA机构,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信 任的第三方,承担公钥体系中公钥的合法性检验的责任。
负责证书颁发、吊销、更新和续订等证书管理任务和 CRL(被CA吊销的证书的列表)发布和事件日志记录等几项 重要的任务。
采用证书的公钥吊销,是通过吊销公钥证书来实现的。公
钥证书的吊销来自于两个方向,一个是上级的主动吊销,
另一个是下级主动申请证书的吊销。当上级CA对下级CA
不能信赖时(如上级发现下级CA的私钥有泄露的可能),
它可以主动停止下级CA公钥证书的合法使用。当客户发现
自己的私钥泄露时,也可 主动申请公钥证书的吊销,防止
9
CA的架构
根据PKI的结构,身份认证的实体需要有一对密钥,分别 为私钥和公钥。其中的私钥是保密的,公钥是公开的。从原 理上讲,不能从公钥推导出私钥,穷举法来求私钥则由于目 前的技术、运算工具和时间的限制而不可能。每个实体的密 钥总是成对出现,即一个公钥必定对应一个私钥。公钥 加密 的信息必须由对应的私钥才能解密,同样,私钥做出的签名, 也只有配对的公钥才能解密。公钥有时用来传输对称密钥, 这就是数字信封技术。
22
SSL证书
数位签名又名数字标识、签章 (即 Digital Certificate, Digital ID ),提供了一种在网上进行身份验证的方法,是用 来标志和证明网路通信双方身份的数字信息文件,概念类似 日常生活中的司机驾照或身份证相似。 数字签名主要用于发 送安全电子邮件、访问安全站点、网上招标与投标、网上签 约、网上订购、安全网上公文传送、网上办公、网上缴费、 网上缴税以及网上购物等安全的网上电子交易活动。
18
CA中心的作用
确定客户密钥生存周期,实施密钥吊销和更新管理
每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发 证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般 大约为2~3年。
19
CA中心的作用
密钥更新不外为以下两种情况:密钥对到期、密钥泄露后 需要启用新的密钥对(证书吊销)。密钥对到期时,客户 一般事先非常清楚,可以采用重新申请的方式实施更新。
CA的架构
CA认证的主要工具是CA中心为网上作业主体颁发的数 字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密 算法、数字签名技术、身份认证技 术、运行安全管理技术、 可靠的信任责任体系等等。从业务流程涉及的角色看, 包括 认证机构、数字证书库和黑名单库、密钥托管处理系统、证 书目录服务、证书审批和作废处理系统。从CA的层次结构来 看, 可以分为认证中心(根CA)、密钥管理中心(KM)、 认证下级中心(子CA)、证书审批中心(RA中心)、证书 审批受理点(RAT)等。CA中心一般要发布认证体系声明书, 向服务的对象郑重声明CA的政策、保证安全的措施、服务的 范围、服务的质量、承担的责任、操作流程等条款。
书是由权威公正的第三方机构即CA中心签发的,它在证书申 请被认证中心批 准后,通过登记服务机构将证书发放给申请
者。
14
CA中的数字证书
数字安全证书是一个经证书授权中心数字签名的包含公 开密钥拥有者信息以及公开密钥的文件。最简单的证书包含 一个公开密钥、名称以及证书授权中心的数字 签名。一般情 况下证书中还包括密钥的有效时间,发证机关(证书授权中心) 的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字安全证书包含以下一 些内容:
10
CA的架构
密钥的管理政策是把公钥和实体绑定,由CA中心把实体 的信息和实体的公钥制作成数字证书,证书的尾部必须有CA 中心的数字签名。由于CA中心的数字签名是不可伪造的,因 此实体的数字证书不可伪造。CA中心对实体的物理身份资格 审查通过后,才对申请者颁发数字证书,将实体的身份与数 字证书对应起来。由于实体都信任提供第三方服务的CA中心, 因此,实体可以信任由CA中心颁发数字证书的其他实体,放 心地在网上进行作业和交易。
5
1.CA中心
认证中心(CA─Certificate Authority)作为权威的、可 信赖的、公正的第三方机构,专门负责发放并管理所有参与 网上交易的实体所需的数字证书。它作为一个权威机构,对 密钥进 行有效地管理,颁发证书证明密钥的有效性,并将公 开密钥同某一个实体(消费者、商户、银行)联系在一起。 它负责产生、分配并管理所有参与网上信息交换各方所需的 数字证书,因此是安全电子信息交换的核心。
15
CA中心的作用
CA为电子商务服务的证书中心,是PKI(Public Key Infrastructure)体系的核心。它为客户的公开密钥签发公钥 证书、发放证书和管理证书,并提供一系列密钥生命周期内 的管理服务。它将客户的公 钥与客户的名称及其他属性关联 起来,为客户之间电子身份进行认证。证书中心是一个具有 权威性、可信赖性和公证性的第三方机构。它是电子商务存 在和发展的基础。
6
1.CA中心
为保证客户之间在网上传递信息的安全性、真实性、可 靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性 进行验证,也需要有一个具有权威性、公正性、唯一性的机 构,负责向电子商务的各个主体颁发并管理符合国内、国际 安全电子交易协议标准的安全证书。
数字证书管理中心是保证电子商务安全的基础设施。它 负责电子证书的申请、签发、制作、废止、认证和管理,提 供网上客户身份认证、数字签名、电子公证、安全电子邮件 等服务等业务。
11
CA的职责
CA中心主要职责是颁发和管理数字证书。其中心任务是颁发 数字证书,并履行用户身份认证的责任。CA中心在安全责任 分散、运行安全管理、系统安全、物理安全、数据库安全、 人员安全、密钥管理等方面,需要十分严格的政策和规程, 要有完善的安全机制。另外要有完善的安全审计、运行监控、 容灾备份、事故快速反应等实施措施, 对身份认证、访问控 制、防病毒防攻击等方面也要有强大的工具支撑。
13
CA中的数字证书
数字安全证书就是标志网络用户身份信息的一系列数据,
用来在网络通讯中识别通讯各方的身份,即要在Internet上解 决"我是谁"的问题,就如同现实中我们每一个人都要拥有一 张证明个人身份的身份证或驾驶执照一样,以表明我们的身
份或某种资格。
在网上电子交易中, 商户需要确认持卡人是信用卡或借
证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名
其他客户继续使用该公钥来加密重要信息,而使非法客户
有盗取机密的可能。一般而言,在电子商务实际应用中,
可能会较少出现私 钥泄露的情况,多数情况是由于某个客
户由于组织变动而调离该单位,需要提前吊销代表企业身
份的该客户的证书。
20
2.服务器证书
服务器证书是SSL数字证书的一种形式,意指通过提交 数字证书来证明您的身份或表明您有权访问在线服务。再者 简单来说,通过使用服务器证书可为不同站点提供身份鉴定 并保证该站点拥有高强度加密安全。然而,并不是所有网站 都需要添加服务器证书,但强烈建议只要是与用户、服务器 进行交互连结操作,以及涉及到密码、隐私等内容的网站页 面,才需要服务器安全认证证书。
16
CA中心的作用
自身密钥的产生、存储、备份/恢复、归档和销毁
从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密 钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生, 并存储于加密硬 件内,或以一定的加密形式存放于密钥数据库内。 加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保 护起来。密钥的销毁要以安全的密钥冲写标 准,彻底清除原有的 密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄 露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照 最高安全级 的保护方式来进行设置和管理。
17
CA中心的作用
为认证中心与各地注册审核发放机构的安全加密通信提供 安全密钥管理服务
在客户证书的生成与发放过程中,除了有CA中心外,还有注册机 构、审核机构和发放机构(对于有外部介质的证书)的存在。行业 使用范围内的证书, 其证书的审批控制,可由独立于CA中心的行 业审核机构来完成。CA中心在与各机构进行安全通信时,可采用 多种手段。对于使用证书机制的安全通信,各机构 (通信端)的 密钥产生、发放与管理维护,都可由CA中心来完成。
4
1.CA中心
电子商务的安全是通过使用加密手段来达到的,非对称 密钥加密技术(公开密钥加密技术)是电子商务系统中主要 的加密技术,主要用于对称加密密钥的分发(数字信封)、 数字签名的实现(进行身份认证和信息的完整性检验)和交易防 抵赖等。CA体系为用户的公钥签发证书,以实现公钥的分发 并证明其合法性。该证书证明了该用户拥有证书中列出的公 开密钥。证书是一个经证书授权中心数字签名的包含公开密 钥拥有者信息以及公开密钥的文件。证书的格式遵循X.509标 准。
21
SSL证书
SSL证书是数字证书的一种,类似于驾驶证、护照和营 业执照的电子副本。
SSL证书通过在客户端浏览器和Web服务器之间建立一 条SSL安全通道(Secure socket layer(SSL)安全协议是由 Netscape Communication公司设计开发。该安全协议主要 用来提供对用户和服务器的认证;对传送的数据进行加密和 隐藏;确保数据在传送中不被改变,即数据的完整性,现已 成为该领域中全球化的标准。由于SSL技术已建立到所有主 要的浏览器和WEB服务器程序中,因此,仅需安装服务器证 书就可以激活该功能了)。即通过它可以激活SSL协议,实 现数据信息在客户端和服务器之间的加密传输,可以防止数 据信息的泄露。保证了双方传递信息的安全性,而且用户可 以通过服务器证书验证他所访问的网站是否是真实可靠。
12
CA的职责
CA中心的证书审批业务部门则负责对证书申请者进行资 格审查,并决定是否同意给该申请者发放证书,并承担因审 核错误引起的、为不满足资格的证书申请者发放证书所引起 的一切后果,因此,它应是能够承担这些责任的机构担任; 证书操作部门(Certificate Processor,简称CP)负责为已 授权的申请者制作、发放和管理证书, 并承担因操作运营错 误所产生的一切后果,包括失密和为没有授权者发放证书等, 它可以由审核业务部门自己担任,也可委托给第三方担任。
记卡的合法持有者,同时持卡人也必须能够鉴别商户是否是
合法商户,是否被授权接受某种品牌的信用卡或记卡支付。
为处理这 些关键问题,必须有一个大家都信赖的机构来发放
数字安全证书。数字安全证书就是参与网上交易活动的各方
(如持卡人、商家、支付网关) 身份的代表,每次交易时,
都要通过数字安全证书对各方的身份进行验证。数字安全证
7
1.CA中心
随着认证中心(或称CA中心)的出现,使得开放网络的安 全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、 数字签名、数字信封等加密技术,可以建立起安全程度极高 的加解密和身份认证系统,确保电子交易有效、安全地进行, 从而使信息除发送方和接收方外,不被其他方知悉(保密 性);保证传输过程中不被篡改(完整性和一致性);发送 方确信接收方不是假冒的(身份的真实性和不可伪装性); 发送方不能否认自己的发送行为(不可抵赖性)。
3
1.CA中心
CA中心为每个使用公开密钥的用户发放一个数字证书, 数字证书的作用是证明证书中列出的用户合法拥有证书中列 出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡 改证书。在SET交易中,CA不仅对持卡人、商户发放证书, 还要对获款的银行、网关发放证书。它负责产生、分配并管 理所有参与网上交易的个体所需的数字证书,因此是安全电 子交易的核心环节。
密码学
Windows_CA_证书服务器配置
1
目录
2
1.CA中心
CA中心又称CA机构,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信 任的第三方,承担公钥体系中公钥的合法性检验的责任。
负责证书颁发、吊销、更新和续订等证书管理任务和 CRL(被CA吊销的证书的列表)发布和事件日志记录等几项 重要的任务。
采用证书的公钥吊销,是通过吊销公钥证书来实现的。公
钥证书的吊销来自于两个方向,一个是上级的主动吊销,
另一个是下级主动申请证书的吊销。当上级CA对下级CA
不能信赖时(如上级发现下级CA的私钥有泄露的可能),
它可以主动停止下级CA公钥证书的合法使用。当客户发现
自己的私钥泄露时,也可 主动申请公钥证书的吊销,防止
9
CA的架构
根据PKI的结构,身份认证的实体需要有一对密钥,分别 为私钥和公钥。其中的私钥是保密的,公钥是公开的。从原 理上讲,不能从公钥推导出私钥,穷举法来求私钥则由于目 前的技术、运算工具和时间的限制而不可能。每个实体的密 钥总是成对出现,即一个公钥必定对应一个私钥。公钥 加密 的信息必须由对应的私钥才能解密,同样,私钥做出的签名, 也只有配对的公钥才能解密。公钥有时用来传输对称密钥, 这就是数字信封技术。
22
SSL证书
数位签名又名数字标识、签章 (即 Digital Certificate, Digital ID ),提供了一种在网上进行身份验证的方法,是用 来标志和证明网路通信双方身份的数字信息文件,概念类似 日常生活中的司机驾照或身份证相似。 数字签名主要用于发 送安全电子邮件、访问安全站点、网上招标与投标、网上签 约、网上订购、安全网上公文传送、网上办公、网上缴费、 网上缴税以及网上购物等安全的网上电子交易活动。
18
CA中心的作用
确定客户密钥生存周期,实施密钥吊销和更新管理
每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发 证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般 大约为2~3年。
19
CA中心的作用
密钥更新不外为以下两种情况:密钥对到期、密钥泄露后 需要启用新的密钥对(证书吊销)。密钥对到期时,客户 一般事先非常清楚,可以采用重新申请的方式实施更新。