第 1 章 身份管理中的公钥证书
X.509 公钥证书用于验证身份管理(IdM)中的用户、主机和服务。除了验证外,X.509 证书还支持启用数字签名和加密,以提供隐私性、完整性和不可抵赖性。
证书包含以下信息:
- 证书验证的主题。
- 签发者,即签署证书的 CA。
- 证书有效性的开始和结束日期。
- 证书的有效使用。
- 主题的公钥。
由公钥加密的消息只能由对应的私钥解密。虽然证书及其包含的公钥可以公开提供,但用户、主机或服务必须对其私钥保密。
1.1. IdM 中的证书颁发机构
证书颁发机构以信任层次结构运行。在带有内部证书颁发机构(CA)的 IdM 环境中,所有 IdM 主机、用户和服务都信任 CA 签名的证书。除了这个根 CA 外,IdM 还支持子 CA,其 root CA 已授权依次获得签署证书的能力。通常,此类能够签名的子 CA 证书是特定类型的证书,如 VPN 证书。最后,IdM 支持使用外部 CA。下 表显示了在 IdM 中使用各个 CA 类型的详情。
表 1.1. 在 IdM 中使用集成和外部 CA 的比较
| CA 的名称 | 描述 | 使用 | 有用的链接 |
|---|---|---|---|
|
| 基于 Dogtag 上游项目的集成 CA | 集成的 CA 可以为用户、主机和服务创建、撤销和发布证书。 | |
| IdM 子 CA |
隶属于 |
IdM 子 CA 是 | |
| 外部 CA | 外部 CA 是集成 IdM CA 或其子 CA 以外的 CA。 | 使用 IdM 工具,您可以将这些 CA 发布的证书添加到用户、服务或主机,也可以删除它们。 |
从证书的角度来看,自签名的 IdM CA 签名的和外部签名的证书之间没有区别。
CA 的角色包括以下目的:
- 它发布数字证书。
- 通过签署证书,它证明证书中命名的对象拥有一个公钥。主题可以是用户、主机或服务。
- 它可以撤销证书,并通过证书撤销列表(CRL)和在线证书状态协议(OCSP)提供撤销状态。
其它资源
- 请参阅 规划您的 CA 服务。
