PKI 体系

PKI （Public Key Infrastructure）体系不代表某一种技术，而是综合多种密码学手段来实现安全可靠传递消息和身份确认的一个框架和规范。

一般情况下，包括如下组件：

• CA（Certification Authority）：负责证书的颁发和作废，接收来自 RA 的请求；
• RA（Registration Authority）：对用户身份进行验证，校验数据合法性，负责登记，审核过了就发给 CA；
• 证书数据库：存放证书，一般采用 LDAP 目录服务，标准格式采用 X.500 系列。

CA 是最核心的组件，主要完成对公钥的管理。从之前章节内容中，我们介绍过，密钥有两种类型：用于签名和用于加解密，对应称为 签名密钥对 和 加密密钥对。

用户基于 PKI 体系要申请一个证书，一般可以由 CA 来生成证书和私钥，也可以自己生成公钥和私钥，然后由 CA 来对公钥进行签发。