网络安全
公钥基础设施(PKI)
别称: PKI
定义
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
PKI 是在规模化场景下落地公钥密码学的整体方案,通常包括根证书颁发机构(CA)、若干中间 CA、注册机构、证书库、用于密钥保护的硬件安全模块(HSM)以及吊销基础设施(CRL 与 OCSP)。订户在本地生成密钥,通过证书签名请求(CSR)证明身份,并收到 X.509 证书,依赖方可沿证书链回溯至受信任的根进行验证。PKI 支撑着 TLS/HTTPS、S/MIME 邮件、代码签名、文档签名、服务间 mTLS、智能卡等众多场景。建设稳健的 PKI 需要严谨的密钥仪式、生命周期自动化、对 Certificate Transparency 的监控以及清晰的策略(CP/CPS)。
示例
- 企业 PKI 从离线根 CA 为全体员工签发智能卡登录证书。
- Let's Encrypt 是一种公共 PKI,通过 ACME 协议自动签发 TLS 证书。
相关术语
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
公钥密码学
使用成对的公钥与私钥实现加密、密钥交换、数字签名和身份认证的密码学分支,无需事先共享秘密。
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。
证书吊销列表(CRL)
由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。
OCSP(在线证书状态协议)
一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。