|
|
| (1)只要得到CA的公钥,就能由此得到CA为用户签署的公钥。
|
|
|
| (2)除CA外,其他任何人员都不能以不被察觉的方式修改证书的内容。
|
|
|
| 因为证书是不可伪造的,因此无须对存放证书的目录施加特别的保护。
|
|
|
| 如果所有用户都由同一CA签署证书,则这一CA必须取得所有用户的信任。用户证书除了能放在公共目录中供他人访问外,还可以由用户直接把证书转发给其他用户。用户B得到A的证书后,可相信用A的公钥加密的消息不会被他人获悉,还可信任用A的私钥签署的消息不是伪造的。
|
|
|
| 如果用户数量很多,仅一个CA负责为所有用户签署证书可能不现实。通常应有多个CA,每个CA为一部分用户发行和签署证书。
|
|
|
| 设用户A已从证书发放机构X1处获取了证书,用户B已从X2处获取了证书。如果A不知X2的公钥,他虽然能读取B的证书,但却无法验证用户B证书中X2的签名,因此B的证书对A来说是没有用处的。然而,如果两个证书发放机构X1和X2彼此间已经安全地交换了公开密钥,则A可通过以下过程获取B的公开密钥:
|
|
|
| (1)A从目录中获取由X1签署的X2的证书X1《X2》,因为A知道X1的公开密钥,所以能验证X2的证书,并从中得到X2的公开密钥。
|
|
|
| (2)A再从目录中获取由X2签署的B的证书X2《B》,并由X2的公开密钥对此加以验证,然后从中得到B的公开密钥。
|
|
|
| 在以上过程中,A是通过一个证书链来获取B的公开密钥的,证书链可表示为:
|
|
|
|
|
| 类似地,B能通过相反的证书链获取A的公开密钥,表示为:
|
|
|
|
|
| 以上证书链中只涉及两个证书。同样,有N个证书的证书链可表示为:
|
|
|
|
|
| 此时,任意两个相邻的CAXi和CAXi+1已彼此间为对方建立了证书,对每一个CA来说,由其他CA为这一CA建立的所有证书都应存放于目录中,并使得用户知道所有证书相互之间的连接关系,从而可获取另一用户的公钥证书。X.509建议将所有的CA以层次结构组织起来,用户A可从目录中得到相应的证书以建立到B的以下证书链:
|
|
|
|
|
|
|
|
|
|
|
京公网安备 11010502032051号 | 营业执照