公钥基础设施(PKI)是在开放网络环境下提供身份认证和鉴别、并能保证信息的机密性、完整性及抗否认性的一套安全设施,目前已经成为信息安全认证领域中的主流技术。 本文首先对PKI/CA设施的理论知识进行了介绍,而且对证书的生命周期及相关机制进行了详细介绍。就PKI实体来讲主要由两部分构成:注册机构(RA)和认证机构(CA)。注册机构是用来对客户进行注册、获取、查找、更新及吊销证书的一个前台。因为在企业数字认证系统中我主要是从事RA端的开发,也就是说在本文中我将重点讲述RA端的分析、设计、实现等环节,重点讲述RA端的两项关键技术:一个是页面驻留(PH)技术,通过生命周期网页定制实现页面驻留,从而不仅能进行原来的托管RA证书管理,而且增加了企业RA模式证书管理;另一个就是自动鉴别(AD)技术,通过在企业RA证书管理模式而且开通自动鉴别模式下,用户注册信息可以直接在RA端的自动鉴别服务器上得到鉴别,从而减轻了管理员的鉴别负荷。为了将申请者所需的基本操作和管理员对注册信息的鉴别、吊销原因的分析等这两个功能从RA中独立出来,本系统增加了管理员控制中心端。认证机构(CA)是整个公钥基础设施的核心和重要组成,包括证书生命周期服务、查询服务、CRL生成、CA数据库和CA自身管理等五个子系统构成。证书生命周期服务是整个认证中心模块的核心,包括初始化证书签发、证书签发、证书更新、证书吊销、密钥更新备份恢复等环节;CRL生成发布也是认证中心模块的一个重点,特别是在CRL生成上有很多方法和策略;最后,介绍了CA自身方面的管理机制。 本文主要就PKI在以下两个方面的应用进行了介绍,一个是个人证书在安全电子邮件服务认证方面的应用;另一个就是服务器证书在安全WEB服务器认证方面的应用。当然PKI还在很多方面(比如:VPN、代码签名、电子印章等)都有它的用途。