PKI（数字证书系统）

bilibili找了个课程，记录一下学习过程

散列函数

散列函数的特点：固定大小，雪崩效应，单向，冲突避免

密钥算法

简单记录一下，

对称密钥算法

使用相同的密钥的算法进行加密和解密，优点:非常快，安全，紧凑。

非对称密钥算法

缺点：加密速度非常慢，密文会非常长。

一般来说，都是对称加密和非对称机密同时使用，

数字签名

证书加密是私钥，解密（校验）是公钥。
因为只有发送方存在私钥，所以证书具有不可否认性。
任何人都有公钥，来校验这个文件是否完整和是否源自发送方。

数字证书

证书系统的目的就是给两端提供一次安全的公钥加密

受信任的介绍，通过中间人b，使a和c建立受信任的联系。

证书授权颁发机构CA

1.PKI  最高级的（类似zf，为了颁布证书所弄出来的所有东西）
2.CA  中间的（类似发证的机构，公安局之类的）
3.证书  （类似身份证）

步骤：

1.首先客户需要得到ca的根证书，然后将客户自己的公钥提供给ca。

2.证书服务器会把客户的个人信息和公钥，哈希加密之后得到的东西就叫签名。随后，将明文的个人信息，明文的公钥，明文的hash（通过CA的私钥做的），这个东西的集合就叫数字证书（下图）。

3.客户收到CA发送的消息之后，就可以通过CA的公钥对hash值进行校验，确定是CA发布的。这个时候就可以通过消息中的公钥得到对面客户的公钥。

证书申请的步骤

同步时间

时间是整个PKI系统的重中之重，必须要先确保参加PKI系统的设备和主机的时间同步，才能开始PKI的部署。

部署证书服务器

客户端产生密钥

每一个实体在申请证书之前，需要预先产生RSA密钥对。

验证证书服务器

每一个实体需要获取证书服务器的根证书，里面包含证书服务器的公钥。获取了根证书后，乐意通过fingerprint离线验证证书服务器。

申请个人证书

审核并签名证书

颁发数字证书

交换公钥

证书的申请与吊销

三个经典的申请方式。

申请

吊销