Levin的小屋PKI(Public Key Infrastructure,公钥基础设施)
目录
| 组件 | 角色 | 关键功能 |
|---|---|---|
| CA(认证中心) | 核心权威 | 签发、管理、吊销证书;发布 CRL。 |
| RA(注册中心) | 辅助/前置 | 受理用户申请、审核身份,转发给 CA。 |
| 证书库 / LDAP | 发布中心 | 存储并分发证书和 CRL,供用户查询下载。 |
| CRL(证书吊销列表) | 撤销机制(批量) | 定期列出被吊销的证书序列号。 |
| OCSP(在线证书状态协议) | 撤销机制(实时) | 提供实时的证书状态查询服务。 |
| KM / KMS(密钥管理系统) | 密钥生命周期管理 | 管理密钥的生成、分发、存储、归档、销毁。 |
| 密码机 / HSM | 硬件安全根基 | 物理级保护私钥,执行加密/签名操作,防篡改。 |
flowchart TD
subgraph 管理端
A[RA<br>注册中心] --> B[CA<br>认证中心]
B --> C[KMS<br>密钥管理系统]
C --> D[HSM/密码机<br>硬件安全模块]
end
subgraph 发布端
B --> E[LDAP/HTTP<br>证书/CRL仓库]
B --> F[OCSP响应器<br>实时状态查询]
end
subgraph 用户端
G[最终实体<br>Alice] -->|1.申请证书| A
G -->|4.获取Bob证书| E
G -->|5.查询证书状态| F
H[最终实体<br>Bob] -->|1.申请证书| A
end
B -->|签发证书/CRL| E
B -->|更新吊销信息| F