数字证书在PKI认证系统中的应用一则

        在PKI体系中，数字证书起着重要的作用，其具体的功能与用法请参考相关的文档。
在这里我主要描述数字证书的一个应用。

        数字证书的具体应用方法与颇发证书时证书信息的填写有密切的联系，即在RA申请证书时，为了以后的维护与管理方便，需要认真地填写证书的信息，这个信息包括：证书DN项，即常说的CN、S、L、O、OU、eMail、证书密钥用法等项；密钥长度目前大多为1024比特位，若是CA根证书一般为2048比特位，也有4096比特位；另外，证书时间限制也要制定好。这些信息在定型之前，即批量发证到用户手中前，需要制定好管理的策略，包括信息填写规则、录入事宜、证书维护策略等。

证书的内容
与一个公共密钥关联的证书有一个主题，即一个个体或者服务器或者其他实体的真实身份。 主题中的信息包含身份信息(识别名[Distinguished Name])和公共密钥， 还包括发布此证书的证书机构的名称和签名以及证书的有效期限， 还可能会有证书机构监管者信息和流水号等附加信息。

Subject: Distinguished Name, Public Key
Issuer: Distinguished Name, Signature
Period of Validity: Not Before Date, Not After Date
Administrative Information: Version, Serial Number
Extended Information: Basic Contraints, Netscape Flags, etc.

识别名用于在一个特定的上下文中指明身份，比如，一个个体可能有一个个人证书，
同时还有一个其雇佣者的证书。X.509标准中定义了识别名的各个项及其名称和缩写:
DN Field                               Abbrev.                     Description                                    Example
Common Name                  CN                            Name being certified                   CN=boise
Organization or Company  O                           Name is associated with this organization  O=Anma
Organizational Unit              OU                        Name is associated with this organization unit, such as a department                                                               OU=DevPart
City/Locality                                L                       Name is located in this City                               L=Beijing
State/Province                            ST                    Name is located in this State/Province         ST=Beijing
Country                                    C                      Name is located in this Country (ISO code)      C=CN

证书机构可能会定义规定哪些识别名是可选的，而哪些是必须的一个规范，还可能对项的内容和证书使用人数有所要求。

 对证书的内容有了一个基本的了解后，下面主要讲述其应用。一个基本PKI与数字证书的认证体系中，以证书及与之相对应的私钥来实现PKI模式的认证，证书作为用户实体的代表，需要由管理机构来存储并做日常管理与维护，为此，需要合理地利用数字证书中所具有信息来作为存储关键字、查询依据与认证要素。在这里简单地举例：
 对于认证机构来说，是主要的认证中心，也可以称之为中央数据库；用户实体就是分布在各地的每一个用户，也可以称之为客户端；
1.证书的序列号，可以作为用户实体在中央数据库的唯一标识；用户登录请求认证时采用序列号来作为身体ID号；
2.证书的DN项，可以作为用户实体在中央数据库的一个用户名称；为了方便管理，可以在中央数据库中，把解析后的DN项的数据来划分不同的组织子机构：
C一般为国家，S和L一般可以按区域来划分，O与OU可以按行政单位或者部门来划分CN项就是在具体单位下的用户名，这样可以很方便的进行人工式管理。
3.认证时，私钥是由用户实体（客户端）来存储并用来运算的，它可以存储在多种存储介质中，如智能IC卡、USB-Key等设备中，在认证系统处理认证请求时，需要先验证中央数据库中用户证书的有效性，然后进行PKI身份认证。
4.当用户变更或者系统更新时，即数字证书需要更新时，在制作更新证书时，一定要注意老证书的序列号的保证，因为中央数据库中只有老证书的序列号并以之为用户的唯一标识，很关键；所以在新证书中一定要增加记录老证书的序列号，这个老证书序列号可以利用证书的扩展项，即在证书AlterName中存储，将之记录为OtherName，具体事宜请参考X.509 V3规范中相关内容。
5.用户查询时，可以直接地利用序列号或者手工的按DN项来查询。

    合理地利用数字证书，可以减少很多数据冗余，并给系统地运行、维护带来巨大的好处。

Author: boise 版权所有
eMail: bjgxjob@163.com