第3章公鑰基礎(chǔ)設(shè)施PKI

第三章公鑰基礎(chǔ)設(shè)施PKI本章學(xué)習(xí)重點(diǎn)掌握內(nèi)容：PKI的組成數(shù)字證書格式數(shù)字證書管理信任模型2/6/20231第三章公鑰基礎(chǔ)設(shè)施PKI3.1概述3.2PKI組成3.3數(shù)字證書及管理3.4密鑰管理3.5信任模型

3.6PKI的應(yīng)用2/6/20232PKI的引入

隨著互聯(lián)網(wǎng)技術(shù)的推廣和普及，各種網(wǎng)絡(luò)應(yīng)用如電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券交易等也迅猛發(fā)展。但如何保障這些應(yīng)用的安全性，已成為發(fā)展網(wǎng)絡(luò)通信需要解決的重要任務(wù)。在公開密鑰加密技術(shù)基礎(chǔ)上發(fā)展起來的PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）很好地適應(yīng)了互聯(lián)網(wǎng)的特點(diǎn)，可為互聯(lián)網(wǎng)以及網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)如認(rèn)證、密鑰管理、數(shù)據(jù)完整性檢驗(yàn)和不可否認(rèn)性保證等。今天互聯(lián)網(wǎng)的安全應(yīng)用，已經(jīng)離不開PKI的支持了。返回本章首頁2/6/20233從參與電子政務(wù)與電子商務(wù)的用戶實(shí)體出發(fā)，應(yīng)用系統(tǒng)常規(guī)的安全需求通常包括：

（1）認(rèn)證需求：提供某個(gè)實(shí)體（人或系統(tǒng)）的身份保證。（2）訪問控制需求：保護(hù)資源，以防止被非法使用和操作。（3）保密需求：保護(hù)信息不被泄漏或暴露給非授權(quán)的實(shí)體。（4）數(shù)據(jù)完整性需求：保護(hù)數(shù)據(jù)以防止未經(jīng)授權(quán)的增刪、修改和替代。（5）不可否認(rèn)需求：防止參與某次通信交換的一方事后否認(rèn)本次交換曾經(jīng)發(fā)生過。返回本章首頁2/6/20234PKI的基本概念

PKI是一個(gè)用公鑰密碼算法原理和技術(shù)來提供安全服務(wù)的通用性基礎(chǔ)平臺(tái)，用戶可利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。PKI采用標(biāo)準(zhǔn)的密鑰管理規(guī)則，能夠?yàn)樗袘?yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理。PKI首先是適用于多種環(huán)境的框架，這個(gè)框架避免了零碎的、點(diǎn)對(duì)點(diǎn)的、特別是那些沒有互操作性的解決方案，它引入了可管理的機(jī)制以及跨越多個(gè)應(yīng)用和多種計(jì)算平臺(tái)的一致安全性。返回本章首頁2/6/20235PKI的組成

公鑰基礎(chǔ)設(shè)施主要包括認(rèn)證機(jī)構(gòu)CA、證書庫(kù)、密鑰備份（即恢復(fù)系統(tǒng)）、證書作廢處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等。（1）CA

它是數(shù)字證書的簽發(fā)機(jī)構(gòu)，是PKI的核心，并且是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機(jī)構(gòu)。（2）證書庫(kù)它是CA頒發(fā)證書和撤銷證書的集中存放地，是網(wǎng)上的一種公共信息庫(kù)，供廣大公眾進(jìn)行開放式查詢。返回本章首頁2/6/20236（3）證書撤銷認(rèn)證機(jī)構(gòu)CA通過簽發(fā)證書來為用戶的身份和公鑰進(jìn)行捆綁，但因種種原因，還必須存在一種機(jī)制來撤銷這種捆綁關(guān)系，將現(xiàn)行的證書撤銷。（4）密鑰備份和恢復(fù)為了避免解密密鑰丟失帶來的不便，PKI提供了密鑰備份與解密密鑰的恢復(fù)機(jī)制，即密鑰備份與恢復(fù)系統(tǒng)，它由可信任的CA來完成。值得強(qiáng)調(diào)的是，密鑰備份與恢復(fù)只針對(duì)解密密鑰，而簽名密鑰不能做備份。返回本章首頁2/6/20237（5）自動(dòng)更新密鑰

證書有效期是有限的，該規(guī)定既有理論上的原因，又有實(shí)際操作因素。因此，在很多PKI環(huán)境中，一個(gè)已頒發(fā)的證書需要有過期的措施，以便更換新的證書。為解決密鑰更新的復(fù)雜性和人工操作的麻煩，PKI自動(dòng)完成密鑰或證書的更新。（6）密鑰歷史檔案密鑰更新的概念告訴我們，經(jīng)過一段時(shí)間后，每個(gè)用戶都會(huì)形成多個(gè)“舊”證書和至少一個(gè)“當(dāng)前”證書。這一系列舊證書和相應(yīng)的私鑰就組成了用戶密鑰和證書的歷史檔案。返回本章首頁2/6/202383.1概述3.1.1什么是PKIPKI就是這樣一個(gè)平臺(tái)，以數(shù)字證書和公鑰技術(shù)為基礎(chǔ)，提供網(wǎng)絡(luò)安全所需要的真實(shí)性、保密性、完整性和不可否認(rèn)性等基礎(chǔ)服務(wù)。PKI是PublicKeyInfrastructure的縮寫，通常譯作公鑰基礎(chǔ)設(shè)施。PKI以公鑰技術(shù)為基礎(chǔ)，以數(shù)字證書為媒介，結(jié)合對(duì)稱加密技術(shù)，將個(gè)人、組織、設(shè)備的標(biāo)識(shí)身份信息與各自的公鑰捆綁在一起，其主要目的是通過自動(dòng)管理密鑰和證書，為用戶建立一個(gè)安全、可信的網(wǎng)絡(luò)運(yùn)行環(huán)境.2/6/20239什么是PKI？PublicKeyInfrastructure公開密鑰基礎(chǔ)設(shè)施普適性、系統(tǒng)是用公鑰概念與技術(shù)來實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施

產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷基于公開密鑰密碼學(xué)的公鑰證書所必須的軟件、硬件、人、策略和處理過程的集合

是硬件、軟件、策略和人組成的系統(tǒng)，當(dāng)完全并且正確的實(shí)施后，能夠提供一整套的信息安全保障，這些保障對(duì)保護(hù)敏感的通信和交易是非常重要的.2/6/202310澄清概念PKIPublicKeyInfrastructureCACertificationAuthority數(shù)字證書認(rèn)證中心、認(rèn)證中心、CA中心是PKI系統(tǒng)的最核心部件可以認(rèn)為PKI的其他部件是依附于CA的所以，在非學(xué)術(shù)場(chǎng)合，我們看到CA和PKI的概念是混用2/6/202311基礎(chǔ)設(shè)施PKI的類比--電力基礎(chǔ)設(shè)施能夠遞歸--使用電力控制的變電站PKI與應(yīng)用的分離--電器2/6/202312PKI就在我們身邊電子商務(wù)（包括移動(dòng)商務(wù)）電子支付，電子合同、數(shù)字簽名國(guó)防在線訪問軍事資源、通信保密、文件保密、秘密分級(jí)管理、各部門通信協(xié)調(diào)。電子政務(wù)電子公章、資源訪問控制、文件保密登錄授權(quán)VPN2/6/2023133.1.2為什么需要PKIInternet最大的特點(diǎn)是它的開放性、廣泛性和自發(fā)性

網(wǎng)絡(luò)安全服務(wù)包含了信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等為了防范用戶身份（包括人和設(shè)備）的假冒、數(shù)據(jù)的截取和篡改以及行為的否認(rèn)等安全漏洞，需一種技術(shù)或體制來實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證，2/6/202314PKI能夠提供什么？全面的信息安全支持真實(shí)性（標(biāo)識(shí)與鑒別）完整性（不被修改，沒有錯(cuò)誤）機(jī)密性（隱私與保密）非否認(rèn)性（責(zé)任確定）可用性（可獲得，系統(tǒng)穩(wěn)定性）2/6/202315真實(shí)性（身份標(biāo)識(shí)與認(rèn)證）實(shí)體驗(yàn)證人口令，動(dòng)態(tài)口令，擁有的設(shè)備，PKI數(shù)字證書設(shè)備主機(jī)IP地址，MAC地址，對(duì)稱密碼，PKI數(shù)字證書信息驗(yàn)證MAC，PKI數(shù)字證書（數(shù)字簽名，同時(shí)提供了完整性）2/6/202316口令口令是最常用的認(rèn)證方式，也是最好理解的不需要特殊的硬件，不需要專門的口令輸入器口令系統(tǒng)的安全性依賴于足夠的技術(shù)手段保護(hù)巨大的認(rèn)證數(shù)據(jù)庫(kù)對(duì)抗重放攻擊對(duì)抗窮舉暴力攻擊不可能記住足夠長(zhǎng)的、足以對(duì)抗暴力攻擊的口令2/6/202317完整性保證數(shù)據(jù)不被改動(dòng)，包括非人為的改動(dòng)或人為的無意或惡意的篡改檢錯(cuò)、糾錯(cuò)碼（針對(duì)機(jī)器錯(cuò)誤、傳輸錯(cuò)誤）安全MAC/帶密鑰HASH（針對(duì)第三方攻擊，不能防止對(duì)方對(duì)消息的篡改）數(shù)字簽名（PKI）2/6/202318機(jī)密性保證信息不被未授權(quán)的其他人獲得訪問控制如限制某些人對(duì)某些文件的讀寫權(quán)限自主訪問控制和強(qiáng)制訪問控制加密對(duì)稱密碼可利用基于PKI的密鑰協(xié)商非對(duì)稱密碼和PKI信息隱藏將一段信息藏在另一段信息中2/6/202319非否認(rèn)指能夠提供一種證據(jù)，確認(rèn)原始發(fā)送者是誰并保證數(shù)據(jù)未被修改，這種證據(jù)是第三方可以驗(yàn)證的。在通信雙方發(fā)生爭(zhēng)議的時(shí)候提供法律的證據(jù)。完整性是由通信對(duì)方認(rèn)可和驗(yàn)證，而不可否認(rèn)應(yīng)該由第三方來進(jìn)行驗(yàn)證和仲裁非對(duì)稱算法，PKI2/6/202320對(duì)稱算法不適合于大規(guī)模使用未曾謀面，缺少以前的聯(lián)系難以密鑰協(xié)商用戶數(shù)目增多分發(fā)和管理密鑰（KeyManagement）困難（多，變）安全性問題（密鑰泄露）性能問題（瓶頸）2/6/202321非對(duì)稱算法/公鑰算法知道加密，但不知道解密提供數(shù)字簽名提供秘密密鑰的密鑰管理公開公鑰，秘密保存私鑰但也存在問題，如何確定公鑰歸屬問題。2/6/202322從非對(duì)稱算法到PKI非對(duì)稱密鑰密碼的使用需要一個(gè)正確的方法，需要一個(gè)標(biāo)準(zhǔn)體系的支持PublicKeyInfrastructure公開密鑰基礎(chǔ)設(shè)施技術(shù)保障如何保護(hù)用戶的私鑰－－密鑰備份和恢復(fù)系統(tǒng)如何獲得通信對(duì)方的公開密鑰，并確保所得到的公開密鑰就是對(duì)方的－－認(rèn)證機(jī)構(gòu)CA證書發(fā)布、查詢應(yīng)該有一個(gè)一致的標(biāo)準(zhǔn)－－資料庫(kù)2/6/202323從非對(duì)稱算法到PKI證書撤銷時(shí)也需要有一個(gè)合理的規(guī)范以保證大規(guī)模網(wǎng)絡(luò)下的互操作性能－－CRL如何開發(fā)應(yīng)用－－PKI應(yīng)用接口只有解決這些技術(shù)問題，非對(duì)稱密鑰密碼才能投入大規(guī)模使用以非對(duì)稱密鑰密碼的原理為基礎(chǔ)設(shè)計(jì)和建設(shè)的、提供電子交易安全服務(wù)的一種網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)設(shè)施就是PKI2/6/202324從非對(duì)稱算法到PKIPKI中的各種要素權(quán)威機(jī)構(gòu)CA注冊(cè)機(jī)構(gòu)RA客戶端資料庫(kù)數(shù)字證書證書狀態(tài)服務(wù)和證書撤銷列表密鑰產(chǎn)生、備份及恢復(fù)系統(tǒng)應(yīng)用接口2/6/202325PKI的特點(diǎn)

PKI是一個(gè)用公鑰概念與技術(shù)來提供一套具有通用性的安全服務(wù)，其特點(diǎn)是：（1）節(jié)省費(fèi)用。在一個(gè)大型的應(yīng)用系統(tǒng)中，實(shí)現(xiàn)統(tǒng)一的安全解決方案，比起實(shí)施多個(gè)有限的解決方案，費(fèi)用要少得多。（2）互操作性。在一個(gè)系統(tǒng)內(nèi)部，實(shí)施多個(gè)點(diǎn)對(duì)點(diǎn)的解決方案，無法實(shí)現(xiàn)互操作性。在PKI中，每個(gè)用戶程序和設(shè)備都以相同的方式訪問和使用安全服務(wù)功能。返回本章首頁2/6/202326

（3）開放性。任何先進(jìn)技術(shù)的早期設(shè)計(jì)，都希望在將來能和其它系統(tǒng)間實(shí)現(xiàn)互操作，而一個(gè)專有的點(diǎn)對(duì)點(diǎn)技術(shù)方案不能處理多域間的復(fù)雜性，不具有開放性。（4）一致的解決方案。一致解決方案在一個(gè)系統(tǒng)內(nèi)更易于安裝、管理和維護(hù)，并且開銷小。（5）可驗(yàn)證性。PKI在所有應(yīng)用系統(tǒng)和設(shè)備之間所采用的交互處理方式都是統(tǒng)一的，因此，它的操作和交互都可以被驗(yàn)證是否正確。（6）可選擇性。PKI為管理員和用戶提供了許多可選擇性。返回本章首頁2/6/2023273.1.3PKI的發(fā)展與應(yīng)用

自20世紀(jì)90年代初期以來，逐步得到許多國(guó)家政府和企業(yè)的廣泛重視，PKI技術(shù)由理論研究進(jìn)入到商業(yè)化應(yīng)用階段。IETF、ISO等機(jī)構(gòu)陸續(xù)頒布了X.509、PKIX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等PKI應(yīng)用相關(guān)標(biāo)準(zhǔn)，RSA、VeriSign、Entrust、Baltimore等企業(yè)紛紛推出自己的PKI產(chǎn)品和服務(wù)。全國(guó)相繼成立了多家PKI認(rèn)證中心和PKI產(chǎn)品開發(fā)商.

2/6/202328國(guó)內(nèi)外PKI發(fā)展二十世紀(jì)八十年代，美國(guó)學(xué)者提出了PKI（公開密鑰基礎(chǔ)設(shè)施）的概念1996年成立了聯(lián)邦PKI指導(dǎo)委員會(huì)1999年，PKI論壇成立2000年4月，美國(guó)國(guó)防部宣布要采用PKI安全倡議方案2001年6月13日，“亞洲PKI論壇”成立2002年2月經(jīng)國(guó)家計(jì)委批準(zhǔn)，正式成立了“中國(guó)PKI論壇”籌備工作組2002年7月2日到5日在北京召開了“亞洲PKI論壇”第二屆年會(huì)2007年11月7日，“亞洲PKI聯(lián)盟”（APKIC，AsiaPKIConsortium）成立大會(huì)在中國(guó)西安召開。2/6/202329世界各國(guó)的PKI建設(shè)美國(guó)——聯(lián)邦橋計(jì)劃加拿大——加拿大PKI計(jì)劃澳大利亞、英國(guó)、法國(guó)、德國(guó)、意大利、奧地利、比利時(shí)、希臘、荷蘭、芬蘭、日本、俄羅斯等幾十個(gè)國(guó)家都在發(fā)展、使用PKI歐洲——?dú)W洲橋CA，促進(jìn)歐洲各種的CA互聯(lián)互操作2/6/202330中國(guó)的PKI建設(shè)(1)區(qū)域型上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA（簡(jiǎn)稱HBECA）；海南電子商務(wù)認(rèn)證中心（HNECA）；廣東省電子商務(wù)認(rèn)證中心行業(yè)型金融、電信和外經(jīng)貿(mào)等行業(yè)建立的相關(guān)證書機(jī)構(gòu)國(guó)內(nèi)十三家商業(yè)銀行聯(lián)合建設(shè)中國(guó)金融認(rèn)證中心(CFCA)中國(guó)電信組建的CTCA由國(guó)家外經(jīng)貿(mào)部建立的中國(guó)國(guó)際電子商務(wù)中心（CIECC）國(guó)家根CA國(guó)家密碼管理局2/6/202331中國(guó)的PKI建設(shè)(2)獲證機(jī)構(gòu)和發(fā)證數(shù)量，逐年增加至2005年底，15家CA，發(fā)證總量236萬至2006年底，21家CA，累計(jì)發(fā)證546萬至2007年底，26家CA，初步統(tǒng)計(jì)發(fā)證約740多萬上海CA累計(jì)發(fā)證突破90萬（2007年7月）CFCA累計(jì)發(fā)證突破100萬（2006年7月）山東CA已發(fā)放證書40多萬張（2006年1月）……2/6/202332中國(guó)的PKI建設(shè)(3)應(yīng)用領(lǐng)域網(wǎng)上支付2006年3月，支付寶公司推出國(guó)內(nèi)支付領(lǐng)域首張數(shù)字證書電子病歷截至2007年12月，廣西醫(yī)科大學(xué)第一附屬醫(yī)院36個(gè)臨床病區(qū)采用電子病歷，5萬份電子病歷使用電子簽名2007年，廣東中山市人民醫(yī)院1300余名醫(yī)護(hù)人員制作了證書網(wǎng)上交易平臺(tái)2007年，廣東省開通網(wǎng)上藥品采購(gòu)平臺(tái)，發(fā)放6000多張證書2/6/202333中國(guó)的PKI建設(shè)(4)技術(shù)產(chǎn)品18項(xiàng)通過國(guó)家密碼管理局技術(shù)鑒定的電子認(rèn)證系統(tǒng)（SRQ系列）截至2006年底，電子認(rèn)證和數(shù)字證書應(yīng)用的軟件系統(tǒng)和硬件設(shè)備產(chǎn)品達(dá)千種以上，涉及機(jī)構(gòu)超過300家2/6/202334亞洲PKI論壇發(fā)展歷史從2000年開始，由日本、韓國(guó)、新加坡等發(fā)起，醞釀創(chuàng)建亞洲PKI論壇。2001年6月，在東京舉行亞洲PKI論壇成立大會(huì)日本當(dāng)選為首屆亞洲PKI論壇主席，中國(guó)、韓國(guó)和新加坡當(dāng)選為副主席2/6/202335亞洲PKI論壇的活動(dòng)召開信息交流研討會(huì)，促進(jìn)PKI制度、技術(shù)跨國(guó)界協(xié)調(diào)推動(dòng)所需調(diào)查、驗(yàn)證實(shí)驗(yàn)以及工作組活動(dòng)有效協(xié)調(diào)與其他地區(qū)各類電子商務(wù)活動(dòng)的合作參與PKI技術(shù)標(biāo)準(zhǔn)化和成員間互操作活動(dòng)調(diào)研電子交易相關(guān)法律、法規(guī)推動(dòng)論壇成員間的友好往來等加強(qiáng)亞洲國(guó)家和地區(qū)與美國(guó)的PKI論壇、歐洲EESSI等PKI組織聯(lián)系，促進(jìn)國(guó)際間PKI互操作體系的建設(shè)發(fā)展2/6/2023363.2PKI組成

3.2.1PKI系統(tǒng)結(jié)構(gòu)

一個(gè)典型的PKI系統(tǒng)包括:1)PKI策略、軟硬件系統(tǒng)2)認(rèn)證中心（CA)、注冊(cè)機(jī)構(gòu)（RA）、證書簽發(fā)系統(tǒng)3)PKI應(yīng)用PKI系統(tǒng)結(jié)構(gòu)如圖所示。2/6/2023373.2.1PKI系統(tǒng)結(jié)構(gòu)PKI應(yīng)用證書簽發(fā)系統(tǒng)注冊(cè)機(jī)構(gòu)RA認(rèn)證中心CA軟硬件系統(tǒng)PKI策略PKI系統(tǒng)結(jié)構(gòu)

2/6/2023383.2.1PKI系統(tǒng)結(jié)構(gòu)1.PKI策略PKI策略是一個(gè)包含如何在實(shí)踐中增強(qiáng)和支持安全策略的一些操作過程的詳細(xì)文檔，它建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。一般情況下，在PKI中有兩種類型的策略：一種是證書策略，用于管理證書的使用；另一種是證書的實(shí)行申明（CPS),CPS是一個(gè)詳細(xì)的文檔，包括在實(shí)際應(yīng)用中如何執(zhí)行和維持安全方針。PKI策略的內(nèi)容一般包括：認(rèn)證政策的制定、遵循的技術(shù)規(guī)范、各CA之間的上下級(jí)或同級(jí)關(guān)系、安全策略、安全程度、服務(wù)對(duì)象、管理原則和框架、認(rèn)證規(guī)則、運(yùn)作制度的規(guī)定、所涉及的法律關(guān)系，以及技術(shù)的實(shí)現(xiàn)。2/6/2023393.2.1PKI系統(tǒng)結(jié)構(gòu)2.軟硬件系統(tǒng)軟硬件系統(tǒng)是PKI系統(tǒng)運(yùn)行所需硬件和軟件的集合，主要包括認(rèn)證服務(wù)器、目錄服務(wù)器、PKI平臺(tái)等。3.認(rèn)證中心認(rèn)證中心是PKI的信任基礎(chǔ)，它負(fù)責(zé)管理密鑰和數(shù)字證書的整個(gè)生命周期。4.注冊(cè)機(jī)構(gòu)注冊(cè)機(jī)構(gòu)是PKI信任體系的重要組成部分，是用戶（個(gè)人或團(tuán)體）和認(rèn)證中心之間的一個(gè)接口。2/6/2023403.2.1PKI系統(tǒng)結(jié)構(gòu)5.證書簽發(fā)系統(tǒng)證書簽發(fā)系統(tǒng)負(fù)責(zé)證書的發(fā)放，例如可以通過用戶自己或通過目錄服務(wù)器進(jìn)行發(fā)放。目錄服務(wù)器可以是一個(gè)組織中現(xiàn)有的，也可以是由PKI方案提供的。6.PKI應(yīng)用PKI的應(yīng)用非常廣泛，包括在Web服務(wù)器和瀏覽器之間的通信、電子郵件、電子數(shù)據(jù)交換（EDI）、在因特網(wǎng)上的信用卡交易和虛擬專用網(wǎng)（VPN）等方面。PKI應(yīng)用程序接口系統(tǒng)一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)（API），以便各種應(yīng)用都能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境可信，降低管理和維護(hù)的成本。2/6/2023413.2PKI組成3.2.2認(rèn)證中心PKI系統(tǒng)通常采用可信第三方充當(dāng)認(rèn)證中心CA，來確認(rèn)公鑰擁有者的真正身份，CA保證了數(shù)字證書中列出的用戶名稱與證書中列出的公開密鑰一一對(duì)應(yīng)，解決了公鑰體系中公鑰的合法性問題。CA是PKI體系的核心。CA的主要功能有:1）證書審批：接收并驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)，確定是否接收最終用戶數(shù)字證書的申請(qǐng)。2）證書簽發(fā)：向申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書。3）證書更新：接收、處理最終用戶的數(shù)字證書更新請(qǐng)求。2/6/2023423.2.2認(rèn)證中心4）證書查詢：接收用戶對(duì)數(shù)字證書的查詢；提供目錄服務(wù)，可以查詢用戶證書的相關(guān)信息。5）證書撤銷：產(chǎn)生和發(fā)布證書吊銷列表，驗(yàn)證證書狀態(tài)；或提供在線證書查詢服務(wù)OCSP（OnlineCertificateStatusProtocol），驗(yàn)證證書狀態(tài)。6）證書歸檔：數(shù)字證書歸檔及歷史數(shù)據(jù)歸檔。7）各級(jí)CA管理：下級(jí)認(rèn)證機(jī)構(gòu)證書及賬戶管理；認(rèn)證中心及其下級(jí)CA密鑰的管理；2/6/2023433.2PKI組成3.2.3注冊(cè)中心RA是PKI信任體系的重要組成部分，是用戶（個(gè)人或團(tuán)體）和CA之間的一個(gè)接口，是認(rèn)證機(jī)構(gòu)信任范圍的一種延伸。RA接受用戶的注冊(cè)申請(qǐng)，獲取并認(rèn)證用戶的身份，主要完成收集用戶信息和確認(rèn)用戶身份的功能。RA可以認(rèn)為是CA的代表處、辦事處，負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核及證書發(fā)放等具體工作；同時(shí)，對(duì)發(fā)放的證書完成相應(yīng)的管理功能。2/6/2023443.2.3注冊(cè)中心RA的具體職能包括：自身密鑰的管理，包括密鑰的更新、保存、使用、銷毀等。審核用戶的信息。登記黑名單。業(yè)務(wù)受理點(diǎn)（LRA）的全面管理。接收并處理來自受理點(diǎn)的各種請(qǐng)求。2/6/2023453.2PKI組成3.2.4最終實(shí)體最終實(shí)體EE（EndEntity，EE）是指PKI產(chǎn)品和服務(wù)的最終使用者，可以是個(gè)人、組織和設(shè)備。RA管理員、CA管理員、最終用戶的角色關(guān)系如圖所示2/6/2023463.3數(shù)字證書及管理數(shù)字證書，簡(jiǎn)稱證書，又叫“數(shù)字身份證”,、“網(wǎng)絡(luò)身份證”、“電子證書。它是由認(rèn)證中心發(fā)放并經(jīng)過認(rèn)證中心簽名的，包含證書擁有者及其公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實(shí)身份。數(shù)字證書是PKI體系中最基本的元素，PKI系統(tǒng)的所有安全操作都是通過數(shù)字證書來實(shí)現(xiàn)的。2/6/202347數(shù)字證書采用公鑰體制，即利用一對(duì)相互匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的專有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）以證書形式公開，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰（證書）對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣的信息在傳輸和存放時(shí)就可以保證安全性。2/6/202348公鑰/私鑰的產(chǎn)生可由用戶自主產(chǎn)生使用特定的安全設(shè)備（例如USBKey、計(jì)算機(jī)軟件等）第三方權(quán)威機(jī)構(gòu)統(tǒng)一產(chǎn)生CA密鑰管理機(jī)構(gòu)同時(shí)對(duì)私鑰進(jìn)行了備份合法監(jiān)聽、司法取證的需要2/6/202349數(shù)字證書簡(jiǎn)稱證書、PKI證書，是將實(shí)體屬性和相應(yīng)公鑰綁定在一起的數(shù)據(jù)文件。該文件由權(quán)威機(jī)構(gòu)（也就是CA），進(jìn)行數(shù)字簽名，并公開發(fā)布?？衫肅A的公鑰進(jìn)行公開驗(yàn)證。2/6/202350CAPKI中的核心部件負(fù)責(zé)產(chǎn)生數(shù)字證書將用戶的公鑰和用戶屬性信息組合在一起，然后進(jìn)行數(shù)字簽名，按特定的格式標(biāo)準(zhǔn)組織，得到完整的PKI數(shù)字證書2/6/202351相互關(guān)系示意圖證書序列號(hào)xxxxx:有效期:Nov.08,2001-Nov.08,2008用戶名

組織名部門Status:公鑰:

ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl簽名信息公鑰認(rèn)證機(jī)構(gòu)私鑰2/6/202352一般的證書產(chǎn)生流程狀態(tài)查詢認(rèn)證機(jī)構(gòu)證書資料庫(kù)注冊(cè)機(jī)構(gòu)RA發(fā)布證書及CRL私鑰證書公鑰證書申請(qǐng)證書公鑰公鑰公鑰2/6/202353交叉認(rèn)證CrossCertificationCA對(duì)另一個(gè)CA的認(rèn)證，稱為交叉認(rèn)證和對(duì)用戶的檢查類似，要檢查另一個(gè)CA的各種情況，包括CP/CPS。交叉認(rèn)證的結(jié)果就是：產(chǎn)生交叉證書利用交叉證書可以驗(yàn)證其他CA系統(tǒng)的訂戶2/6/202354CRL和證書撤銷CertificateRevocationList證書撤銷列表，證書黑名單在證書的有效期期間，因?yàn)槟撤N原因（如人員調(diào)動(dòng)、私鑰泄漏等等），導(dǎo)致相應(yīng)的數(shù)字證書內(nèi)容不再是真實(shí)可信，此時(shí)，進(jìn)行證書撤銷，說明該證書已是無效CRL中列出了被撤銷的證書序列號(hào)2/6/2023553.3.1證書格式數(shù)字證書的格式采用X.509國(guó)際標(biāo)準(zhǔn)。X.509證書格式的版本到目前為止共有3個(gè)版本，通常用v1、v2和v3表示。1988年：X.509協(xié)議標(biāo)準(zhǔn)的第一版，定義了v1版的證書格式和CRL（證書吊銷列表）格式。1993年：X.509協(xié)議標(biāo)準(zhǔn)的第二版，定義了v2版的證書格式和修改了上一版的CRL格式。1997年：X.509協(xié)議標(biāo)準(zhǔn)的第三版，定義了v3版的證書格式（見表3-2）和v2版的CRL格式。2000年：X.509協(xié)議標(biāo)準(zhǔn)的第四版，證書格式版本未變，仍為v3，只是增加了新的擴(kuò)展項(xiàng)，并且增加了對(duì)屬性證書的描述。CRL的格式未變，仍未v2。2/6/2023563.3.1證書格式X.509v3數(shù)字證書字段名及說明字段名說明Version版本號(hào)Serialnumber證書唯一序列號(hào)SignaturealgorithmIDCA簽名使用算法IssuernameCA名Validityperiod證書生效日期和失效日期Subject(user)name

證書主體Subjectpublickeyinformation

證書主體公開密鑰信息IssueruniqueidentifierCA唯一標(biāo)識(shí)Subjectuniqueidentifier證書主體唯一標(biāo)識(shí)Extensions證書擴(kuò)充內(nèi)容SignatureontheabovefieldCA對(duì)以上內(nèi)容的簽名2/6/2023573.3.2證書的申請(qǐng)PKI系統(tǒng)的證書申請(qǐng)、審核、制作、發(fā)布、發(fā)放、存儲(chǔ)和使用的工作流程，見圖所示2/6/2023583.3.2證書的申請(qǐng)證書的申請(qǐng)有離線申請(qǐng)方式和在線申請(qǐng)方式兩種：離線申請(qǐng)方式用戶持有關(guān)證件到注冊(cè)中心RA進(jìn)行書面申請(qǐng)。在線申請(qǐng)方式用戶通過因特網(wǎng)，到認(rèn)證中心的相關(guān)網(wǎng)站下載申請(qǐng)表格，按內(nèi)容提示進(jìn)行填寫；也可以通過電子郵件和電話呼叫中心傳遞申請(qǐng)表格的信息，但有些信息仍需要人工錄入，以便進(jìn)行審核。2/6/2023593.3.3證書生成如果證書的申請(qǐng)被批準(zhǔn)，CA就把證書請(qǐng)求轉(zhuǎn)化為證書，用CA的私鑰對(duì)證書進(jìn)行簽名，保證證書的完整性和權(quán)威性，將制作好的證書存儲(chǔ)到證書庫(kù)中，供CA進(jìn)行證書的發(fā)放和發(fā)布。2/6/2023603.3.4證書發(fā)布證書必須發(fā)布到以下兩類實(shí)體：1、數(shù)字簽名的驗(yàn)證實(shí)體。驗(yàn)證實(shí)體通過證書獲得簽名實(shí)體可信的公開密鑰，驗(yàn)證消息發(fā)送方的數(shù)字簽名，對(duì)消息發(fā)送實(shí)體進(jìn)行身份認(rèn)證；2、加密數(shù)據(jù)的解密實(shí)體。加密數(shù)據(jù)的實(shí)體通過證書獲得對(duì)方公鑰，對(duì)發(fā)送的數(shù)據(jù)進(jìn)行加密，解密實(shí)體使用自己的私鑰對(duì)信息進(jìn)行解密。2/6/2023613.3.4證書發(fā)布——續(xù)證書的發(fā)布方式有以下3種：離線發(fā)布證書制作完成后，通過email和軟盤等存儲(chǔ)介質(zhì)的方式，離線分發(fā)給申請(qǐng)的用戶。在小范圍的用戶群內(nèi)使用得很好，該方式不適合企業(yè)級(jí)的應(yīng)用。資料庫(kù)發(fā)布將用戶的證書信息和證書撤銷信息，存儲(chǔ)在用戶可以方便訪問的數(shù)據(jù)庫(kù)中或其他形式的資料庫(kù)中。例如：輕量級(jí)目錄訪問服務(wù)器Web服務(wù)器、FTP服務(wù)器、等。協(xié)議發(fā)布證書和證書撤銷信息也可以作為其他信息通信交換協(xié)議的一部分。如通過S/MIME安全電子郵件協(xié)議，TLS協(xié)議證書的交換。2/6/2023623.3.5證書撤銷證書由于某種原因需要作廢，比如用戶身份姓名的改變、私鑰被竊或泄漏、用戶與所屬企業(yè)關(guān)系變更等，PKI需要使用一種方法，通知其他用戶不要再使用該用戶的公鑰證書，這種通知、警告機(jī)制被稱為證書撤銷。2/6/2023633.3.5證書撤銷——續(xù)方法有兩種：一種是利用周期性的發(fā)布機(jī)制，如使用證書撤銷列表CRL（CertificateRevocationList）。另一種是在線查詢機(jī)制，如使用在線證書狀態(tài)協(xié)議OCSP（OnlineCertificateStatusProtocol）。2/6/2023643.3.6證書更新證書更新包括兩種情況：最終實(shí)體證書更新和CA證書更新。最終實(shí)體證書更新，有以下兩種方式：執(zhí)行人工密鑰更新：用戶向RA提出更新證書的申請(qǐng)，RA根據(jù)用戶的申請(qǐng)信息更新用戶的證書。實(shí)現(xiàn)自動(dòng)密鑰更新：PKI系統(tǒng)對(duì)快要過期的證書進(jìn)行自動(dòng)更新，生成新的密鑰對(duì)。2/6/2023653.3.7證書歸檔由于證書更新等原因，一段時(shí)間后，每個(gè)用戶都會(huì)形成多個(gè)舊證書和至少一個(gè)當(dāng)前證書，這一系列舊證書和相應(yīng)的私鑰，就組成了用戶密鑰和證書的歷史檔案，簡(jiǎn)稱密鑰歷史檔案，因此需要證書歸檔和管理，以備后用。2/6/2023663.3.8用戶證書存儲(chǔ) 用戶數(shù)字證書可以存儲(chǔ)在計(jì)算機(jī)的硬盤、USB盤、IC卡和專用的USBKey盤中。證書申請(qǐng)者從認(rèn)證中心處得到的數(shù)字證書和用戶的私鑰，通常保存在申請(qǐng)證書所用電腦硬盤的隱秘空間里，一般人無法獲取，但可以通過程序?qū)С?，存?chǔ)在USB盤或其它的計(jì)算機(jī)里，這樣用戶數(shù)字證書和私鑰就可以在其它的計(jì)算機(jī)上使用并完成備份。2/6/2023673.3.9數(shù)字證書的使用一個(gè)可信的認(rèn)證中心CA給每個(gè)用戶簽發(fā)一個(gè)包含用戶名稱和公鑰的數(shù)字證書。如果證書持有者A想和證書持有者B通信，他必須首先從證書數(shù)據(jù)庫(kù)中取得B的證書，然后對(duì)它進(jìn)行驗(yàn)證。如果證書持有者A需要向證書持有者B傳送數(shù)字信息，為了保證信息傳送的機(jī)密性、完整性和不可否認(rèn)性，需要對(duì)要傳送的信息進(jìn)行加密和數(shù)字簽名，其傳送過程如下：1、A準(zhǔn)備好需要傳送的數(shù)字信息（明文）；2、A對(duì)數(shù)字信息進(jìn)行散列運(yùn)算，得到一個(gè)信息摘要；3、A用自己的私鑰KRA對(duì)信息摘要進(jìn)行簽名得到A的數(shù)字簽名，并將其附在數(shù)字信息上；2/6/2023683.3.9數(shù)字證書的使用4、A隨機(jī)產(chǎn)生一個(gè)會(huì)話密鑰K，并用此密鑰對(duì)要發(fā)送的明文信息和A的數(shù)字簽名信息進(jìn)行加密，形成密文；5、A從B的數(shù)字證書中獲取B的公鑰KUB，對(duì)會(huì)話密鑰K進(jìn)行加密，將加密后的會(huì)話密鑰連同密文一起傳給B；6、B收到A傳送過來的密文和加密的會(huì)話密鑰，先用自己的私鑰KRb對(duì)加密的會(huì)話密鑰進(jìn)行解密，得到會(huì)話密鑰K；2/6/2023693.3.9數(shù)字證書的使用7、B用會(huì)話密鑰K對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息和A的數(shù)字簽名，然后將會(huì)話密鑰K作廢；8、B從A的數(shù)字證書中獲取A的公鑰KUA，對(duì)A的數(shù)字簽名進(jìn)行驗(yàn)證，得到信息摘要。B用相同的散列算法對(duì)收到的明文再進(jìn)行一次運(yùn)算，得到一個(gè)新的信息摘要，對(duì)兩個(gè)信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被篡改過。2/6/2023703.4密鑰管理

密鑰管理也是PKI（主要指CA）中的一個(gè)核心問題，主要是指密鑰對(duì)的安全管理，包括密鑰產(chǎn)生、密鑰備份、密鑰恢復(fù)和密鑰更新等。密鑰產(chǎn)生密鑰對(duì)的產(chǎn)生是證書申請(qǐng)過程中重要的一步，其中產(chǎn)生的私鑰由用戶保留，公鑰和其他信息則交于CA中心產(chǎn)生證書。2/6/202371密鑰產(chǎn)生的方式用戶公私鑰對(duì)產(chǎn)生有兩種方式：用戶自己產(chǎn)生的密鑰對(duì)和CA為用戶產(chǎn)生的密鑰對(duì)。用戶自己選擇產(chǎn)生密鑰對(duì)的長(zhǎng)度和方法，負(fù)責(zé)私鑰的存放；然后向CA提交自己的公鑰和身份證明。CA對(duì)提交者的身份進(jìn)行認(rèn)證，對(duì)密鑰強(qiáng)度和持有者進(jìn)行審查。如果審查通過，CA將用戶身份信息和公鑰捆綁封裝并進(jìn)行簽名產(chǎn)生數(shù)字證書。CA為用戶產(chǎn)生密鑰對(duì)過程是：向CA提交請(qǐng)求，CA負(fù)責(zé)產(chǎn)生密鑰對(duì)，同時(shí)生成公鑰證書和私鑰證書，公鑰證書發(fā)布到目錄服務(wù)器，私鑰證書交給用戶。CA對(duì)公鑰證書進(jìn)行存檔，如果用戶私鑰注明不是用于簽名，則CA對(duì)用戶私鑰也進(jìn)行存檔。2/6/2023723.4密鑰管理密鑰備份和恢復(fù)密鑰的備份和恢復(fù)也是PKI密鑰管理中的重要一環(huán)。使用PKI的企業(yè)和組織必須能夠得到確認(rèn)：即使密鑰丟失，受密鑰加密保護(hù)的重要信息也必須能夠恢復(fù)密鑰更新對(duì)每一個(gè)由CA頒發(fā)的證書都會(huì)有有效期，密鑰對(duì)生命周期的長(zhǎng)短由簽發(fā)證書的CA中心來確定，各CA系統(tǒng)的證書有效期限有所不同，一般大約為2-3年。當(dāng)用戶的私鑰被泄漏或證書的有效期快到時(shí)，用戶向CA提出申請(qǐng)，廢除舊證書，產(chǎn)生新密鑰對(duì)，申請(qǐng)新證書。2/6/2023733.5信任模型實(shí)際網(wǎng)絡(luò)環(huán)境中不可能只有一個(gè)CA，多個(gè)認(rèn)證機(jī)構(gòu)之間的信任關(guān)系必須保證:原有的PKI用戶不必依賴和信任專一的CA，否則將無法進(jìn)行擴(kuò)展、管理和包含。信任模型建立的目的是確保一個(gè)認(rèn)證機(jī)構(gòu)簽發(fā)的證書能夠被另一個(gè)認(rèn)證機(jī)構(gòu)的用戶所信任。2/6/2023743.5信任模型

在PKI中有四種常用的信任模型：1）嚴(yán)格層次結(jié)構(gòu)模型(StrictHierarchyofCertificationAuthoritiesModel)、2）分布式信任結(jié)構(gòu)模型(DistributedTrustArchitectureModel)、3）Web模型(WebModel)；4）以用戶為中心的信任模型(User-CentricTrustModel)。2/6/2023753.5信任模型3.5.1層次型信任模型層次性模型可以被描繪為一棵倒轉(zhuǎn)的樹，根在頂上，樹枝向下伸展，樹葉在最下面，（根CA,子CA,終端實(shí)體）2/6/2023763.5.1層次型信任模型層次結(jié)構(gòu)按如下規(guī)則建立：根CA具有一個(gè)自簽名的證書。根CA依次為其下級(jí)CA頒發(fā)證書。每個(gè)CA都擁有零個(gè)或多個(gè)子節(jié)點(diǎn)。上層的CA既可以認(rèn)證其他CA，也可以直接為終端實(shí)體頒發(fā)證書，但在實(shí)際應(yīng)用中，為了便于管理，用于認(rèn)證下級(jí)CA，不為用戶認(rèn)證終端實(shí)體。終端實(shí)體就是PKI的用戶，處于層次模型的葉子節(jié)點(diǎn)，其證書由其父節(jié)點(diǎn)CA頒發(fā)。對(duì)于終端實(shí)體而言，它需要信任根CA，中間的CA可以不必關(guān)心。層次模型中，除根CA之外的每個(gè)節(jié)點(diǎn)CA上，至少需要保存兩種數(shù)字證書。向上證書：父節(jié)點(diǎn)CA發(fā)給它的證書；向下證書:由它頒發(fā)給其他CA或者終端實(shí)體的證書。2/6/2023773.5.2分布式信任模型信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上，而每個(gè)CA所在的子系統(tǒng)構(gòu)成系統(tǒng)的子集，并且是一個(gè)嚴(yán)格的層次結(jié)構(gòu)。不同的CA所簽發(fā)的數(shù)字證書能夠互相認(rèn)證，就需要使用交叉認(rèn)證技術(shù).所謂交叉認(rèn)證就是通過在獨(dú)立的CA間建立起信任關(guān)系，使得它們各自的終端用戶建立起信任關(guān)系。2/6/2023783.5.3基于Web模型的信任模型Web模型主要依賴于流行的瀏覽器，當(dāng)前流行的幾款瀏覽器如微軟的IE瀏覽器、Mozila的firefox(火狐貍瀏覽器)等都預(yù)裝了許多CA的證書。Web模型在方便性和簡(jiǎn)單互操作性方面有明顯的優(yōu)勢(shì)，但是也存在許多問題：容易信任偽造的CA沒有實(shí)用的機(jī)制來撤銷嵌入到瀏覽器中的根證書。2/6/2023793.5.4以用戶為中心的信任模型在以用戶為中心的信任模型中，各用戶自己決定信任哪些證書?；赗SA算法的安全電子郵件軟件PGP(PrettyGoodPrivacy)，采用了這一信任模型。2/6/2023803.6PKI的應(yīng)用以為Windows2003為例，介紹CA的安裝和使用，以及證書在IIS中的應(yīng)用和利用證書發(fā)送安全電子郵件。3.6.1CA的安裝和證書申請(qǐng)1、證書安裝1）使用administrator身份登錄到Windows2003。2）、單擊控制面板中的“添加或刪除程序”，在Windows組件向?qū)Ч催x“證書服務(wù)”復(fù)選框，單擊彈出的對(duì)話框“是”按扭。這時(shí)會(huì)彈出對(duì)話框，提示“安裝證書服務(wù)后，計(jì)算機(jī)名和域成員身份都不能更改……”2/6/2023813.6.1CA的安裝和證書申請(qǐng)彈出對(duì)話框，選擇CA類型，選擇“企業(yè)根CA”，并復(fù)選“用自定義設(shè)置生成密鑰對(duì)和CA證書”在出現(xiàn)的“公鑰/私鑰對(duì)”中保持默認(rèn)值，下一步要求輸入CA的名稱，這里在“CA識(shí)別信息”窗口中輸入CA的名稱“test_PKI”，如圖3-8所示，單擊下一步，其他選擇默認(rèn)值。保持證書數(shù)據(jù)庫(kù)及其日志信息的保存位置默認(rèn)值，單擊“下一步”按扭，在隨后的停止Internet信息服務(wù)的對(duì)話框中，單擊“是”。系統(tǒng)在確定停止IIS服務(wù)的運(yùn)行后，系統(tǒng)便會(huì)開始安裝證書服務(wù)器相關(guān)的組件以及程序。在出現(xiàn)的安裝完成窗口中單擊“完成”。2/6/2023823.6.1CA的安裝和證書申請(qǐng)2、證書管理可以通過控制臺(tái)管理證書。在系統(tǒng)菜單運(yùn)行處輸入mmc命令，啟動(dòng)一個(gè)控制臺(tái)。在“文件”菜單中單擊“添加/刪除管理單元”選擇添加“證書頒發(fā)機(jī)構(gòu)”單元。2/6/2023833.6.1CA的安裝和證書申請(qǐng)CA中包括以下子樹：吊銷的證書：由于密鑰泄密等原因已經(jīng)吊銷的證書；頒發(fā)的證書：由客戶端申請(qǐng)并已經(jīng)頒發(fā)，而且處于有效期可用的證書。頒發(fā)的證書可以選中并改變?yōu)榈蹁N的證書；掛起的申請(qǐng)：是已經(jīng)提交申請(qǐng)而沒有頒發(fā)證書，可以選擇一個(gè)申請(qǐng)頒發(fā)。失敗的申請(qǐng)：是沒有通過的申請(qǐng)。證書模版：是可以頒發(fā)證書的模版，安裝證書組件時(shí)，只有選擇企業(yè)根才可以管理證書模板，2/6/2023843.6.1CA的安裝和證書申請(qǐng)3、證書申請(qǐng)以下步驟進(jìn)行證書的申請(qǐng)1）首先在申請(qǐng)證書的主機(jī)上，打開網(wǎng)址http://CA主機(jī)域名或IP地址/certsrv，申請(qǐng)證書。2）選擇創(chuàng)建并向此CA提交一個(gè)申請(qǐng)。3）選高級(jí)證書申請(qǐng)。4）用戶可以選擇證書類型，證書類型的多少取決于CA服務(wù)器端證書模版目錄下的證書類型以及證書的屬性。2/6/2023853.6.1CA的安裝和證書申請(qǐng)查看所申請(qǐng)