Menu Close

第 1 章 身份管理中的公钥证书

本章描述了 X.509 公钥证书,其用于验证身份管理(IdM)中的用户、主机和服务。除了身份验证外,X.509 证书还支持数字签名和加密,来提供隐私性、完整性和不可否认性。

证书包含以下信息:

  • 证书验证的主题。
  • 签发者,即签署证书的 CA。
  • 证书有效性的开始和结束日期。
  • 证书的有效使用。
  • 主题的公钥。

由公钥加密的消息只能由相应的私钥解密。虽然包含的证书和公钥可以公开发布,但用户、主机或服务必须对其私钥保密。

1.1. IdM 中的证书颁发机构

证书颁发机构在信任层次结构中操作。在带有内部证书颁发机构(CA)的 IdM 环境中,所有 IdM 主机、用户和服务信任由 CA 签名的证书。除了这个根 CA 外,IdM 还支持根 CA 授予其依次签署证书能力的子 CA。通常,此类子 CA 能够签名的证书是特定类型的证书,如 VPN 证书。最后,IdM 支持使用外部 CA。 表显示了 在 IdM 中使用独立 CA 的详情。

表 1.1. 在 IdM 中使用集成和外部 CA 的比较

CA 的名称描述使用有用的链接

ipa CA

基于 Dogtag 上游项目的集成 CA

集成的 CA 可以为用户、主机和服务创建、吊销和发布证书。

使用 ipa CA 来请求一个新用户证书,并将其导出到客户端

IdM sub-CAs

从属于 ipa CA 的集成 CA

IdM 子 CA 是 ipa CA 对其授予了签署证书的 CA。通常,这些证书是特定类型的,如 VPN 证书。

将应用程序限制为只信任证书子集

外部 CA

外部 CA 是集成 IdM CA 或其子 CA 以外的 CA。

使用 IdM 工具,您可以将这些 CA 发布的证书添加到用户、服务或主机,以及删除它们。

管理 IdM 用户、主机和服务的外部签名证书

从证书的角度来看,由自签名 IdM CA 签名和外部签名的证书之间没有区别。

CA 的作用包括以下目的:

  • 它发布数字证书。
  • 通过签署证书,它证明证书中指定的对象拥有一个公钥。主题可以是用户、主机或服务。
  • 它可以吊销证书,并通过证书吊销列表(CRL)和在线证书状态协议(OCSP)提供吊销状态。

其他资源