PKI/CA與數字證書技術大全

數字證書技術不僅涉及的技術領域廣泛、標準規範龐雜，還涉及運營管理和法律法規；本書是中國第一部全面介紹數字證書技術的書籍，涵蓋技術、標準、運營、法規等內容。為方便讀者快速理解PKI、快速把握數字證書技術，並能快速運用到具體的工作當中，本書主要從七個方面來全面介紹數字證書技術，主要內容包括：如何理解PKI、PKI技術基礎、PKI之數字證書與私鑰（網路身份證）、PKI之CA與KMC（管理網路身份證）、PKI之套用（使用網路身份證）、PKI之運營（CA中心）、PKI之法規與標準。

目 錄

第一部分 如何理解PKI

第1章 為什麼會出現PKI技術 2

1.1 保密通信催生了密碼技術 2

1.1.1 古代中國軍隊的保密通信方法 2

1.1.2 傳統密碼學與古代西方保密通信方法 3

1.1.3 兩次世界大戰的密碼鬥法 6

1.1.4 現代密碼學與資訊時代 7

1.2 密碼技術普及推動了密鑰管理技術的發展 9

1.2.1 密鑰管理 9

1.2.2 對稱密鑰管理技術 11

1.2.3 非對稱密碼技術簡化了密鑰管理 12

1.3 PKI本質是把非對稱密鑰管理標準化 14

1.4 私鑰專有性使人聯想到手寫簽名 15

1.5 電子簽名法賦予電子簽名與認證法律地位 16

第2章 PKI包括哪些內容 18

2.1 PKI體系框架 18

2.2 PKI/數字證書與私鑰 20

2.3 PKI/CA與KMC 22

2.4 PKI/套用 25

2.5 PKI/運營 27

2.6 PKI/法規與標準 29

2.6.1 國內法規 29

2.6.2 國內標準 30

2.6.3 國際標準 31

2.7 PKI/信任模型 36

2.7.1 根CA信任模型 37

2.7.2 交叉認證信任模型 38

2.7.3 橋CA信任模型 39

2.7.4 信任列表信任模型 39

第3章 其他非對稱密鑰管理體系 41

3.1 PGP 41

3.2 EMV 42

第二部分 PKI技術基礎

第4章 ASN.1及其編碼規則 48

4.1 ASN.1（抽象文法描述語言） 48

4.2 BER（基本編碼規則）與DER（定長編碼規則） 50

4.2.1 數據類型標識 50

4.2.2 BER基本編碼規則 52

4.2.3 DER定長編碼規則 54

第5章 密碼技術 56

5.1 密碼算法 56

5.1.1 算法分類 56

5.1.2 對稱密碼算法 56

5.1.3 非對稱密碼算法 60

5.1.4 摘要算法 62

5.2 運算模式（工作模式） 64

5.2.1 ECB 64

5.2.2 CBC 64

5.2.3 CFB 64

5.2.4 OFB 65

5.3 擴展機制 65

5.3.1 MAC與HMAC 65

5.3.2 OTP 67

5.3.3 數字簽名 68

5.3.4 數字信封 69

5.4 密碼套用實踐 70

5.4.1 軟體加密與硬體加密 70

5.4.2 網路層加密與套用層加密 72

5.4.3 密鑰管理的基本原則 72

5.4.4 密碼設備的自身安全性 73

5.5 密碼算法ASN.1描述 74

5.5.1 密碼算法格式 74

5.5.2 密碼算法OID 75

5.6 密碼訊息ASN.1描述 75

5.6.1 通用內容訊息ContentInfo 75

5.6.2 明文數據訊息Data 75

5.6.3 數字簽名訊息SignedData 76

5.6.4 數字信封訊息EnvelopedData 77

5.6.5 數字簽名及信封訊息SignedAndEnvelopedData 78

5.6.6 摘要訊息DigestedData 78

5.6.7 加密數據訊息EncryptedData 79

5.6.8 密鑰協商訊息KeyAgreementInfo 79

5.6.9 密碼訊息類型OID 79

5.7 Base64編碼 80

第6章 LDAP技術 82

6.1 目錄服務與LDAP概述 82

6.1.1 目錄服務簡介 82

6.1.2 X.500協定簡介 83

6.1.3 LDAP協定簡介 84

6.1.4 LDAP模型簡介 85

6.1.5 LDAP Schema 88

6.1.6 LDAP認證方式 91

6.1.7 LDIF數據交換檔案 94

6.2 常見LDAP產品介紹 97

6.2.1 IBM TDS 97

6.2.2 Sun Java系統目錄伺服器 97

6.2.3 Novell eDirectory 98

6.2.4 GBase 8d 98

6.2.5 OpenLDAP 99

6.2.6 Microsoft Active Directory 99

6.3 LDAP部署與最佳化 100

6.3.1 複製介紹 100

6.3.2 引用機制介紹 101

6.3.3 複製機制的部署 102

6.3.4 引用機制的部署 104

6.3.5 LDAP最佳化 105

6.4 面向LDAP的系統設計與開發 106

6.4.1 LDAP管理工具 106

6.4.2 套用接口編程與實例 109

6.4.3 LDAP套用案例 119

第7章 實驗一 120

7.1 DER編碼示例：X.501 Name類型 120

7.1.1 ASN.1描述與實例 120

7.1.2 DER編碼過程 121

7.2 RSA算法示例 123

7.2.1 密鑰產生 123

7.2.1 加密解密 124

第三部分 PKI之數字證書與私鑰：網路身份證

第8章 公/私鑰格式 126

8.1 RSA 126

8.2 SM2 128

第9章 數字證書格式 130

9.1 基本格式 130

9.1.1 證書域組成（Certificate） 130

9.1.2 證書內容（tbsCertificate） 130

9.2 標準擴展項 135

9.2.1 標準擴展項（Standard Extensions） 135

9.2.2 專用網際網路擴展項 145

9.3 國內擴展項 146

9.3.1 衛生系統專用擴展項 146

9.3.2 國內通用擴展項 147

第10章 數字證書分類 150

10.1 根據證書持有者分類 150

10.2 根據密鑰分類 150

第11章 私鑰與證書存儲方式 152

11.1 證書保存形式 152

11.1.1 DER檔案形式 152

11.1.2 Base64檔案形式 154

11.1.3 PKCS#7檔案形式 154

11.1.4 Windows證書庫形式 155

11.2 私鑰保存形式 157

11.2.1 PKCS#8檔案形式 158

11.2.2 PKCS#12檔案形式 158

11.2.3 Java Keystore檔案形式 160

11.2.4 密碼設備形式 161

11.2.5 軟體系統形式 162

第12章 私鑰與證書訪問方式 164

12.1 CryptoAPI 164

12.1.1 CryptoAPI簡介 164

12.1.2 使用證書 166

12.1.3 使用私鑰 168

12.2 PKCS#11 172

12.2.1 PKCS#11簡介 172

12.2.2 使用證書 178

12.2.3 使用私鑰 181

12.3 JCA/JCE 183

12.3.1 JCA/JCE簡介 183

12.3.2 使用證書 187

12.3.3 使用私鑰 189

12.4 CNG 190

12.4.1 CNG簡介 190

12.4.2 使用證書 195

12.4.3 使用私鑰 196

12.5 PC/SC 200

12.5.1 PC/SC簡介 200

12.5.2 使用證書 202

12.5.3 使用私鑰 213

12.6 國密接口 213

12.6.1 國密接口簡介 213

12.6.2 使用證書 215

12.6.3 使用私鑰 217

第13章 實驗二 222

13.1 RSA公鑰格式編碼示例 222

13.1.1 ASN.1描述與實例 222

13.1.2 DER編碼過程 222

13.2 數字證書格式編碼示例 223

13.2.1 ASN.1描述與實例 223

13.2.2 DER編碼過程 225

13.3 Windows證書庫操作示例 229

13.3.1 查看證書庫內容 229

13.3.2 導入證書 230

13.3.3 導出證書 233

第四部分 PKI之CA與KMC：管理網路身份證

第14章 系統結構 236

14.1 國際標準 236

14.2 國內標準 237

14.2.1 證書認證系統CA 237

14.2.2 密鑰管理系統KMC 239

第15章 系統設計 241

15.1 證書認證系統CA 241

15.1.1 用戶註冊管理系統RA 241

15.1.2 證書/CRL簽發系統 242

15.1.3 證書/CRL存儲發布系統 243

15.1.4 證書/CRL查詢系統 244

15.1.5 證書管理系統 245

15.1.6 安全管理系統 245

15.2 密鑰管理系統KMC 246

15.3 企業級CA總體設計示例 248

15.3.1 技術路線選擇 248

15.3.2 模組設計 250

15.3.3 資料庫設計 251

15.3.4 雙證書技術流程設計 253

第16章 對外線上服務 256

16.1 OCSP/SOCSP服務 256

16.1.1 OCSP 256

16.1.2 SOCSP 258

16.2 CRL服務 259

16.2.1 基本域組成（CertificateList） 259

16.2.2 CRL內容（tbsCertList） 260

16.2.3 CRL擴展項crlExtensions 262

16.2.4 CRL條目擴展項crlEntryExtensions 265

16.3 LDAP服務 267

16.3.1 發布數字證書到LDAP 267

16.3.2 訪問LDAP獲取數字證書 268

第17章 網路部署結構 270

17.1 運營型CA 270

17.2 企業級CA 273

17.2.1 雙層標準模式 273

17.2.2 雙層簡化模式 273

17.2.3 單層單機模式 274

17.2.4 純硬體模式 274

17.3 按企業管理模式部署CA 276

17.3.1 單機構 276

17.3.2 集團公司+集中部署+集中發證 276

17.3.3 集團公司+集中部署+分布發證 277

17.3.4 集團公司+兩級部署+分布發證 278

第18章 實驗三 280

18.1 OpenSSL CA示例 280

18.1.1 簡介 280

18.1.2 安裝配置 280

18.1.3 申請證書 284

18.1.4 生成並下載CRL 287

18.1.5 導入CA證書到IE可信任證書庫 290

18.2 EJBCA示例 291

18.2.1 簡介 291

18.2.2 安裝配置 292

18.2.3 申請證書 300

18.2.4 下載CRL 303

第五部分 PKI之套用：使用網路身份證

第19章 基本套用 308

19.1 身份認證 308

19.2 保密性 310

19.3 完整性 311

19.4 抗抵賴性 312

19.5 證書有效性驗證 314

第20章 通用套用技術 315

20.1 SSL/TLS（Secure Socket layer/Transport Layer Security） 315

20.1.1 概述 315

20.1.2 記錄協定 315

20.1.3 握手協定 316

20.1.4 警告協定 317

20.1.5 改變密碼約定協定 318

20.1.6 套用數據協定 318

20.2 IPSec 318

20.3 Kerberos 323

20.4 TSP 326

20.5 SET 331

20.6 3-D Secure 333

20.7 WAP 335

20.8 S/MIMI 338

第21章 常見套用 345

21.1 防止假網站與Web伺服器證書 345

21.1.1 假網站 345

21.1.2 使用Web伺服器證書預防假網站 346

21.2 防止假軟體與代碼簽名證書 348

21.2.1 Web技術的發展 348

21.2.2 外掛程式技術與假網銀軟體 350

21.2.3 使用代碼簽名證書預防假網銀軟體 351

21.3 網上銀行系統 352

21.3.1 簡介 352

21.3.2 套用安全需求 353

21.3.3 套用安全總體架構 354

21.4 網上報稅系統 355

21.4.1 簡介 355

21.4.2 套用安全需求 356

21.4.3 套用安全總體架構 356

21.5 電子病歷系統 357

21.5.1 簡介 357

21.5.2 套用安全需求 357

21.5.3 套用安全總體架構 359

21.5.4 網路部署結構 359

21.6 公交IC卡線上充值系統 361

21.6.1 簡介 361

21.6.2 套用安全需求 361

21.6.3 套用安全總體架構 362

21.6.4 充值交易流程 362

第22章 實驗四 365

22.1 Windows IIS伺服器證書配置 365

22.1.1 下載並安裝伺服器證書 366

22.1.2 配置SSL策略 373

22.1.3 訪問Web Server 374

22.2 Apache伺服器證書配置 375

22.2.1 下載並安裝伺服器證書 375

22.2.2 配置SSL策略 379

22.2.3 訪問Web Server 381

22.3 Tomcat伺服器證書配置 381

22.3.1 下載並安裝伺服器證書 381

22.3.2 配置SSL策略 384

22.3.3 訪問Web Server 384

第六部分 PKI之運營：CA中心

第23章 機房建設 388

23.1 業務系統 388

23.1.1 證書認證中心 388

23.1.2 密鑰管理中心 390

23.2 套用安全 391

23.3 數據備份 394

23.4 系統可靠性 394

23.5 物理安全 394

23.6 人事管理制度 396

第24章 運營檔案 397

24.1 CPS 397

24.2 CP 398

24.3 RA管理 399

第25章 業務管理 402

25.1 管理模式 402

25.1.1 總體框架 402

25.1.2 具體要求 404

25.1.3 管理模式示例 410

25.2 主要業務流程 412

25.2.1 證書申請類 412

25.2.2 證書作廢類 417

25.2.3 證書查詢類 418

25.3 客戶服務 420

第26章 資質申請 422

26.1 電子認證服務使用密碼許可證 422

26.1.1 政策法規要點 422

26.1.2 申請流程 423

26.2 電子認證服務許可證 424

26.2.1 政策法規要點 424

26.2.2 申請流程 425

26.3 電子政務電子認證服務管理 426

26.4 衛生系統電子認證服務管理 427

26.4.1 政策法規要點 427

26.4.2 接入流程 428

第七部分 PKI之法規與標準

第27章 國內法規 432

27.1 電子簽名法 432

27.2 電子認證服務管理辦法 436

27.3 電子認證服務密碼管理辦法 440

27.4 電子政務電子認證服務管理辦法 443

27.5 衛生系統電子認證服務管理辦法 447

27.6 商用密碼管理條例 449

27.7 商用密碼科研管理規定 452

27.8 商用密碼產品生產管理規定 454

27.9 商用密碼產品銷售管理規定 456

27.10 商用密碼產品使用管理規定 458

27.11 境外組織和個人在華使用密碼產品管理辦法 459

第28章 國內標準 461

28.1 通用性標準 461

28.1.1 祖沖之序列密碼算法（GM/T 0001） 461

28.1.2 SM4分組密碼算法（GM/T 0002） 461

28.1.3 SM2橢圓曲線公鑰密碼算法（GM/T 0003） 461

28.1.4 SM3密碼雜湊算法（GM/T 0004） 462

28.1.5 SM2密碼算法使用規範（GM/T 0009） 462

28.1.6 SM2密碼算法加密簽名訊息語法規範（GM/T 0010） 463

28.1.7 數字證書認證系統密碼協定規範（GM/T 0014） 463

28.1.8 基於SM2密碼算法的數字證書格式規範（GM/T 0015） 464

28.1.9 通用密碼服務接口規範（GM/T 0019） 464

28.1.10 證書套用綜合服務接口規範（GM/T 0020） 467

28.1.11 IPSec VPN技術規範（GM/T 0022） 467

28.1.12 SSL VPN技術規範（GM/T 0024） 468

28.1.13 安全認證網關產品規範（GM/T 0026） 468

28.1.14 簽名驗簽伺服器技術規範（GM/T 0029） 469

28.1.15 安全電子簽章密碼技術規範（GM/T 0031） 469

28.1.16 時間戳接口規範（GM/T 0033） 470

28.1.17 基於SM2密碼算法的證書認證系統密碼及其相關安全技術規範（GM/T 0034） 470

28.1.18 證書認證系統檢測規範（GM/T 0037） 471

28.1.19 證書認證密鑰管理系統檢測規範（GM/T 0038） 472

28.1.20 證書認證系統密碼及其相關安全技術規範（GB/T 25056） 473

28.1.21 電子認證服務機構運營管理規範（GB/T 28447） 473

28.2 行業性標準 474

28.2.1 衛生系統電子認證服務規範 474

28.2.2 衛生系統數字證書套用集成規範 475

28.2.3 衛生系統數字證書格式規範 475

28.2.4 衛生系統數字證書介質技術規範 476

28.2.5 衛生系統數字證書服務管理平台接入規範 477

28.2.6 網上銀行系統信息安全通用規範（JR/T 0068） 477

第29章 國際標準 479

29.1 PKCS系列 479

29.2 ISO 7816系列 491

29.3 IETF RFC系列 494

29.4 Microsoft規範 502

29.5 Java 安全API規範 504

29.6 CCID規範 506

附錄 主要參考資料 507