
PKI 互操作性协议概要
企业环境
企业环境是寻求在所有最终用户应用程序中提供一致、透明的安全性的机构的典型。机构在这种环境中拥有最大程度的控制权,使其能够充分利用对面向基础设施和最终用户的可互操作 PKI 协议解决方案的投资。
证书生成 - X.509、PKIX 配置文件,X.509 定义了公钥数字证书的格式以及证书吊销列表 (CRL)。来自 IETF PKIX 工作组的 RFC 3280 为这两种格式分别提供配置文件。
证书分发 - 轻量级目录访问协议 (LDAP)
LDAP 定义了用于从存储库发布和访问数字证书和 CRL 的协议。
证书管理 - PKIX Certificate Management Protocol (PKIX-CMP)
IETF PKI 工作组的 RFC 2510 和 2511 定义了管理密钥和证书的协议。不仅仅是简单的证书请求,还支持企业所需的 PKI 生命周期功能。
企业间环境
企业间环境是寻求为企业对企业电子商务提供值得信赖的安全手段的机构的典型。机构控制自己的资源,包括基础设施和最终用户,这些资源必须与其他机构的 PKI 协议进行互操作。
证书生成 - X.509、PKIX 配置文件,这些标准还适用于在企业之间建立一对一或分层信任时使用的交叉证书和 CRL。
证书分发 - LDAP、S/MIME
LDAP 为希望共享全部或部分证书存储库的企业提供访问协议。S/MIME (RFC 2632-2634) 定义了用于最终用户之间直接交换数字证书的协议。
证书管理 - PKIX CMP、PKCS #7/#10
PKIX-CMP 提供交叉证书的请求和管理协议,以及企业模式下的密钥和证书。PKCS #7/#10(RFC 2315、2986)提供协议,用于在创建和分发后无需管理即可请求和接收证书。
消费者环境
消费者环境是机构寻求通过互联网与消费者进行电子商务交易的典型。在控制基础设施的同时,机构必须使用各种应用程序(通常是 Web 浏览器和相关电子邮件)与消费者互动。
证书生成 - X.509 v3、PKIX 配置文件
这些标准提供公钥数字证书的配置文件定义。尽管在这种环境中没有普遍采用吊销检查标准,但是 OCSP (RFC 2560) 等计划正获得越来越多的关注。
证书分发 - S/MIME
在此环境中的证书分发目前仅限于通过 S/MIME 引导用户与用户之间的通信。
证书管理 - PKCS #7/#10
PKCS #7/#10 支持证书请求和接收,但不提供任何密钥或证书管理。尽管在这种环境中没有普遍采用密钥和证书管理标准,但是正在考虑诸如 PKIX-CMC (RFC 2797) 之类的计划。
Entrust 证明了与所有批准协议之间的互操作性?
PKI 互操作性的要素
无论在何种环境中运行,Managed PKI 均由几个必须互操作的组件组成。如下图所示,包括单个 PKI 以及外部环境的接口。

每个组件的简要目的摘要如下:
- 证书颁发机构。证书颁发机构 (CA) 代表值得信赖的第三方,向最终用户颁发密钥和证书,并管理其生命周期,包括生成、吊销、到期和更新。
- 证书存储库。证书存储库提供可扩展的机制,用于向 PKI 的最终用户存储和分发证书、交叉证书和证书吊销列表 (CRL)。
- 客户端应用程序。客户端应用程序是请求、接收和使用公钥凭证进行安全电子商务的最终用户软件。
- 其他服务。Managed PKI 需要其他服务,将与列出的其他三个组件进行互操作。这些服务提供支持许多电子商务应用程序的特殊服务。典型的服务包括时间戳、权限管理、自动注册机构等?
由于在公钥基础设施中的核心作用,无论环境如何,这些组件都必须进行交互和互操作。 这些操作的摘要如下:
- 证书生成。包括生成具有定义格式和语法的公钥数字证书和证书吊销列表,实现与其他客户端应用程序和其他 PKI 协议的互操作性。 此外,还包括用于生成证书颁发机构之间互操作的交叉证书。
- 证书分发。为了进行公钥操作,一个用户必须访问另一个用户的证书以及关联的 CRL。因此,必须有一个通用协议,允许访问其他用户的证书和相关的吊销信息。
- 证书管理。管理密钥和证书是最常见的 PKI 操作。请求、续订、备份、恢复和吊销密钥和证书协议要求客户端应用程序和证书颁发机构有互操作性。