IETF RFC3280規定了CA的系統結構,其相關實體及其關係如下。

1.CA相關實體

①終端實體:指應用環境中涉及他人證書的用戶,或證書持有者。

②CA:負責簽發證書和CRL,並把證書與CRL發佈到存儲庫中。CA支持多級,上級CA可簽發下級CA,最下級CA只能簽發終端實體證書,最頂級CA叫根CA。為達到互聯互通,不同CA間可簽發交叉認證證書。

③RA:屬於可選系統。CA可把部分管理功能授權給RA負責,如註冊申請、證書發佈等。

④CRL簽發者:屬於可選系統。CA可將CRL簽發和CRL發佈功能授權給CRL簽發者負責,CRL是表示證書作廢列表。

⑤存儲庫:分佈式系統的總稱,專門用來存儲證書與CRL。終端實體可由訪問存儲庫面方便地取得所需的證書與CRL,因數字證書有防偽性和有效期,因此數字證書可顺利获得隨意非信任的系統分發,也可存儲到任何非安全的設備中。

2.證書作廢

數字證書籤發後,在其有效期內應該處於有效狀態。但是,有很多原因可能會導致處於有效期內的證書不能繼續使用,如名稱發生改變、CA和證書持有者 之間的關係發生變化(如員工可能離職),私泄露或被懷疑泄露,如果發生這些情況,CA需把該證書作廢,使該證書處於無效狀態。

CA引入CRL機制用來對外發佈作廢證書。CRL表示證書作廢列表,CRL與數字證書相似,是一個特殊的數據結構,由CA或CRL簽發者簽名、全部作廢證書的序列號等組成,可以文件形式存在,當應用系統接收到對方證書時,為驗證該證書是否有效,不僅需核對該證書中包含的CA簽名和有效期,還需核對該證書是否已經作廢(獲取最新CRL,檢查該證書序列號是否在該CRL中)。CA或CRL簽發者定期簽發並發佈CRL,並在CRL中指明下次簽發的最晚時間。

由於CRL也具有防偽性,因此CRL也可以跟數字證書類似,顺利获得任意非信任的系統進行分發。

3.操作協議

操作協議用來把證書和CRL(或狀態信息)傳遞給客戶端系統。可採用多種方式傳遞,如LDAP、HTTP、FTP、X.500等。

4.管理協議

管理協議用來PKI用戶與管理實體間的功能交互。管理協議主要包括如下功能集合。

①註冊:用戶將用來申請證書的相關信息提交給CA。可直接提交，也可由RA間接提交。

②初始化:為確保客戶端系統運行時的安全性,在使用前要預先正確地安裝與密鑰相關數據。例如,受信任CA的相關信息,以及用戶自己的公/私鑰對。

③簽發證書:CA為用戶公鑰簽發數字證書,並把證書返回給用戶的客戶端系統,同時把證書發佈到存儲庫。

④密鑰對恢復:若有需要,CA或密鑰備份系統可備份用戶的密鑰資料(如私鑰)。必要時,可為用戶恢復密鑰資料,如私鑰、口令等。

⑤密鑰對更新:全部密鑰對都需定期更新成新密鑰對,然後簽發新證書。

⑥作廢請求:當證書異常時,用戶可向CA提出申請,把其作廢。

⑦交叉認證:兩個CA互相簽發交叉認證證書來達到互聯互通。