PKI 中憑證機構(CA)簽發數位憑證的過程
1. 生成密鑰對(Key Pair Generation)
用戶生成密鑰對:用戶在本地設備上生成一對密鑰,包括公開密鑰(Public Key)和私有密鑰(Private Key)。
2. 提交憑證簽名請求(CSR, Certificate Signing Request)
生成 CSR:用戶生成包含公開密鑰和身份信息(如用戶名、電子郵件、組織等)的 CSR。
提交 CSR:用戶將 CSR 提交給 CA。
3. 驗證用戶身份(Identity Verification)
CA 驗證身份:CA 通過電子郵件驗證、電話驗證、實體身份證明等方式驗證用戶的身份。
RA 協助:註冊機構(RA)可能協助 CA 進行身份驗證。
4. 簽發數位憑證(Issuing the Digital Certificate)
生成數位憑證:CA 在驗證用戶身份後,生成包含用戶公開密鑰和身份信息的數位憑證。
CA 簽名:CA 使用其私有密鑰對數位憑證進行數位簽名。
發送憑證:CA 將簽名後的數位憑證發送給用戶。
數位憑證的查證過程
1. 驗證數位憑證的真實性
檢查簽名:接收方使用 CA 的公開密鑰驗證數位憑證上的數位簽名。
檢查 CA 憑證鏈:確認憑證鏈中的所有 CA 都是由可信任的根 CA 或上級 CA 簽發的。
檢查憑證有效期:確認數位憑證在其有效期內。
2. 驗證數位憑證的狀態
檢查撤銷狀態:接收方可以通過以下兩種方式檢查憑證是否被撤銷:
憑證撤銷列表(CRL):查詢最新的 CRL,檢查憑證是否在撤銷列表中。
線上憑證狀態協議(OCSP):向 OCSP 伺服器發送請求,實時查詢憑證的狀態。
3. 使用數位憑證進行通信
身份驗證:用戶使用其數位憑證進行身份驗證,接收方驗證憑證以確認用戶身份。
加密通信:用戶和接收方交換公開密鑰,使用對方的公開密鑰加密通信內容,確保通信的機密性和完整性。
阿摩線上測驗
登入