术语表

安装和配置一个或多个证书系统管理器并为他们设置特权用户或代理的人员。另请参阅 agent。

属于组的用户，授权为证书系统管理器管理 代理服务。另请参阅 证书管理器代理、密钥恢复授权代理。

应用程序协议数据单元。通信单元（与字节相同），用于智能卡和智能卡读卡器之间的通信。

在签发证书前需要代理批准请求的注册。

1.可以通过由证书系统 agent 通过为代理分配所需权限的证书系统子系统提供的 HTML 页面管理的服务。

2.用于管理这些服务的 HTML 页面。

此特权用户可以查看签名的审计日志。

记录各种系统事件的日志。此日志可以被签名，提供未被篡改的证明，且只能由审核员用户读取。

form 属性 = value 的断言，其中 attribute 是标签，如 o （机构）或 uid （用户 ID），value 是一个值，如 "Red Hat, Inc." 或登录名称。AVAs 被用来组成用来标识证书主题的 可区分名称(DN)，称为证书的 主题名称。

访问服务器控制的资源的权限。通常，在与资源关联的 ACL 由服务器评估后，通常会进行授权。请参阅 访问控制列表(ACL)。

配置证书系统子系统的方法，允许自动身份验证最终用户注册，而无需人为干预。通过这种身份验证形式，可以成功完成身份验证模块处理的证书请求被自动批准，以进行配置文件处理和证书颁发。

控制允许哪些特定用户执行的操作。例如，对服务器的访问控制通常基于由密码或证书建立的身份，以及有关该实体可以执行的操作的规则。另请参阅 访问控制列表(ACL)。

一组访问控制条目，用于定义服务器收到对特定资源访问请求时要评估的访问规则的层次结构。请参阅 访问控制指令(ACI)。

指定请求访问权限的主体如何识别或拒绝特定主题的访问权限的访问规则。请参阅 访问控制列表(ACL)。

满意识别；保证对某些计算机事务的方并不是一个不可变的发布者。身份验证通常涉及使用密码、证书、PIN 或其他信息来验证计算机网络的身份。另请参阅 基于密码的身份验证、基于证书的验证、客户端身份验证、服务器身份验证。

一组规则（作为 Java™ 类）来验证终端实体、代理、管理员或其他需要与证书系统子系统交互的其他实体。对于典型的最终用户注册，用户在用户提供注册表单请求的信息后，注册 servlet 会使用与该表单关联的身份验证模块来验证信息并验证用户身份。请参阅 servlet。

高级加密标准(AES)类似它的数据加密标准(DES)，是一个 FIPS 批准的对称密钥加密标准。AES 被美国政府在 2002 年采用。它定义了三个块密码、AES-128、AES-192 和 AES-256。国家标准与技术研究机构(NIST)在美国定义 AES 标准。FIPS PUB 197。有关更多信息，请参阅 http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf。

用户 ID，格式为可分辨名称(DN)，用于与 Red Hat Directory Server 进行身份验证的密码。

root CA 将证书委派给从属 CA 的 CA 层次结构。子级 CA 也可以通过将状态委派给其他 CA 来扩展层次结构。另请参阅 证书颁发机构(CA)、子 CA、根 CA。

提供 CA 服务的服务器的 SSL 服务器密钥。

与 CA 证书中的公钥对应的私钥。CA 使用其签名密钥来签署证书和 CRL。

标识证书颁发机构的证书。另请参阅 证书颁发机构(CA)、子 CA、根 CA。

根据 X.509 标准格式化的数字数据，指定个人、公司或其他实体（证书的 主题名称 ）的名称，证书也包含在证书中，该实体也属于该实体。公钥证书由 证书颁发机构(CA) 发布并数字签名。可以通过 数字签名 技术检查 CA 的 公钥加密 来验证证书的有效性。要在 公钥基础架构(PKI) 中信任，证书必须由在 PKI 中注册的其他实体信任的 CA 发布并签名。

请参阅 Cryptographic Message Syntax (CMC)上的证书管理消息。

允许签名注册或签名撤销请求使用代理的签名证书发送到证书管理器的功能。然后，证书管理器会自动处理这些请求。

请参阅 证书管理消息格式(CMMF)。

请参阅 证书撤销列表(CRL)。

请参阅 证书请求消息格式(CRMF)。

用于将证书请求传递给证书管理器的消息格式。来自互联网工程任务强制(IETF) PKIX 工作组的提议标准。如需更多信息，请参阅 https://tools.ietf.org/html/draft-ietf-pkix-cmc-02。

请参阅 加密服务提供商(CSP)。

请参阅 证书链。

一个加密模块，它代表使用 PKCS 定义的标准接口，如密钥生成、密钥存储和加密等加密服务。

请参阅 PKCS the module。

用于数字签名、摘要、验证或加密任意消息的语法，如 CMMF。

用于执行加密操作的一组规则或指示，如 encryption 和 解密。

根据证书和公钥加密进行身份验证。另请参阅 基于密码的身份验证。

用于识别使用 SSL 协议到服务器的证书。请参阅 安全套接字层(SSL)。

将客户端标识到服务器的过程，如使用名称和密码，或者使用证书以及一些数字签名的数据。请参阅 基于证书的验证、基于密码的身份验证、服务器身份验证。

请参阅 加密算法。

X.509 v3 证书包含一个 extensions 字段，允许向证书添加任意数量的其他字段。证书扩展提供了一种向证书添加信息（如备用主题名称和用量限制）的方法。PKIX 工作组定义了多个标准扩展。

与证书关联的 单向哈希。这个值不是证书本身的一部分，而是通过将哈希功能应用到证书的内容来生成。如果证书的内容发生了变化，即使单个字符也是如此，则同一函数也会生成不同的数字。因此，可以使用证书指纹来验证证书是否未被篡改。

由 X.509 标准定义，按序列号吊销的证书列表，由 证书颁发机构(CA) 生成并签名。

用作证书颁发机构的独立证书系统子系统。证书管理器实例问题、续订和撤销证书，它可以与 CRL 一起发布到 LDAP 目录。它接受来自结束实体的请求。请参阅 证书颁发机构(CA)。

属于管理证书管理器代理服务的组授权的用户。这些服务包括访问和修改（批准和拒绝）证书请求和发布证书的能力。

用来将证书请求和撤销从终端实体发送到证书管理器的消息格式，并将各种信息发送到最终实体。来自互联网工程任务强制(IETF) PKIX 工作组的提议标准。CMMF 被另一个提议的标准 Cryptographic Message Syntax (CMC)上的证书管理消息 使用。如需更多信息，请参阅 https://tools.ietf.org/html/draft-ietf-pkix-cmmf-02。

请参阅 Red Hat Certificate System、加密消息语法(CS)。

五个证书系统管理器之一： 证书管理器、在线证书状态管理器、令牌密钥服务或令牌处理系统。密钥恢复授权

可以为任何单一证书系统实例打开的控制台。证书系统控制台允许证书系统控制相应证书系统实例的配置设置。

用于管理 X.509 证书的消息的格式。这个格式是 CMMF 的子集。另请参阅 证书管理消息格式(CMMF)。如需更多信息，请参阅 https://tools.ietf.org/html/rfc2511。

定义特定类型的注册的一组配置设置。证书配置文件为特定类型的注册设置策略，以及证书配置文件中的身份验证方法。

由连续证书颁发机构签名的一系列证书。CA 证书标识了一个 证书颁发机构(CA)，用于签署该机构发布的证书。CA 证书可反过由父 CA 的 CA 证书签名，以此类推 根 CA。证书系统允许任何最终实体检索证书链中的所有证书。

在验证证书要识别的人员或实体的身份后，发出 certificate 的可信实体。CA 还续订并撤销证书并生成 CRL。在证书的 issuer 字段中命名的实体始终是一个 CA。证书颁发机构可以使用证书颁发的服务器软件（如 Red Hat Certificate System）的独立第三方或机构。

一个 CA 发布的证书到另一个 CA，然后由两个 CA 存储，以此组成一个信任的圆圈。这两个 CA 相互发布证书，然后将跨修复证书存储为证书对。

按不同认证层次结构中的两个 CA 或链中的证书交换。跨技术扩展了信任的链，使其包含这两个层次结构。另请参阅 证书颁发机构(CA)。

请参阅 链接的 CA。

包含自上次完整 CRL 后撤销的这些证书的 CRL 列表。

两个公钥-私钥对，四个密钥都对应两个单独的证书。一个对的私钥用于签名操作，另一个对的公钥和私钥用于加密和解密操作。每个对都对应一个独立的 certificate。另请参阅 加密密钥、公钥加密、签名密钥。

用于 CRL 来定义一组证书。每个发行版点都由一组发布的证书定义。可以为特定的发布点创建 CRL。

一系列识别证书主题的 AVAs。请参阅 属性值断言(AVA)。

一个可选的独立证书系统子系统，用于管理用于结束实体的 RSA 加密密钥的长期归档和恢复。证书管理器可以配置为在发布新证书前，使用密钥恢复授权来归档最终实体的加密密钥。只有当最终实体加密数据（如敏感电子邮件）时，Key Recovery Authority 才很有用，组织可能需要每天恢复。它只能用于支持双密钥对的结束实体：两个单独的密钥对，一个用于加密，另一个用于数字签名。

属于授权管理密钥恢复授权机构代理服务的用户，包括使用基于 HTML 的管理页面管理请求队列和授权恢复操作。

密钥恢复授权机构使用的特殊密钥加密最终实体的加密密钥，在使用密钥恢复授权机构的私钥解密后加密它。存储密钥永远不会离开密钥恢复授权。

拥有部分存储密钥的 n 人之一 密钥恢复授权。

认证最终实体使用的公钥，以加密实体的加密密钥，以传输到密钥恢复授权。密钥恢复授权使用与认证公钥对应的私钥，在使用存储密钥加密之前解密最终实体的密钥。

请参阅 certificate。

要创建数字签名，签名软件首先从要签名的数据（如新签发的证书）创建一个 单向哈希。然后，单向哈希使用签名人的私钥进行加密。生成的数字签名对于签名的每个数据都是唯一的。即使单个逗号添加到消息中也会更改该消息的数字签名。使用签名人的公钥成功解密数字签名，并与同一数据的另一个哈希进行比较，提供 篡改检测。为包含公钥的证书验证 证书链，提供签名人验证。另请参阅 nonRepudiation、encryption。

未处理已加密的数据。请参阅 encryption。

Surreptitious 截获通过网络发送的信息，由信息不预期的实体发送。

使用 elliptic curves 为数学问题创建附加日志变体的加密算法，这是加密密钥的基础。ECC 密码比 RSA 密码更高效，并且由于其内部复杂性比 RSA 密码更强。

以忽略其含义的方式处理信息。请参阅 解密。

请参阅 证书扩展。

仅用于加密的私钥。加密密钥及其等同的公钥，以及一个 签名密钥 及其等同的公钥组成一个 双密钥对。

请求和接收 X.509 证书以便在 公钥基础架构(PKI) 中使用的过程。也称为 注册。

在 公钥基础架构(PKI) 中，个人、路由器、服务器或其他使用 certificate 识别其自身的实体。

请参阅 证书指纹。

联邦信息处理标准(FIPS PUBS) 140 是加密模块、硬件或软件实现的美国政府标准，用于加密和解密数据或执行其他加密操作，如创建或验证数字签名。销售到美国政府的许多产品都必须符合一个或多个 FIPS 标准。请参阅 http://www.nist.gov。

在两个或多个网络间强制实施边界的系统或组合。

两个 CA 形成一个信任的配置，方法是向彼此发布跨对证书，并将两个跨密钥对存储为单一证书对。

客户端 IP 地址的伪造。

其证书位于 root CA 和 证书链 中发布的证书的 CA。

将 posing 作为通过网络发送的信息的预期接收者。模拟可以采用两种形式： 欺骗 和 错误代表。

在证书配置文件功能上下文中，它会为特定证书配置文件定义注册表单。设置每个输入，然后从为此注册配置的所有输入动态创建注册表单。

为压缩的文件集合进行数字信封，根据 Java™ 归档(JAR)格式 进行组织。

由 Sun Microsystems 提供的软件开发工具包，用于使用 Java™ 编程语言开发应用程序和小程序。

由 Sun Microsystems 为加密服务开发的 API 规格和引用。See http://java.sun.com/products/jdk/1.2/docs/guide/security/CryptoSpec.Introduction.

在给定平台上提供 Java™ 虚拟机(JVM)不同实现的标准编程接口，允许使用 C 或 C++ 等语言编写的现有代码，以便单一平台绑定到 Java™。请参阅 http://java.sun.com/products/jdk/1.2/docs/guide/jni/index.html。

用于控制由网络安全服务(NSS)执行的安全操作的 Java™ 接口。

用于将数字签名、安装程序脚本和其他信息与目录中的文件相关联的一组约定。

请参阅 密钥交换算法(KEA)。

加密算法 用来加密或解密数据的大量数字。例如，个人的 公钥 允许其他人加密针对该人员的信息。然后，必须使用对应的 私钥 解密信息。

然后有一个客户端和服务器来确定它们在 SSL 会话中使用的对称密钥。

用于美国政府密钥交换的算法。

一个目录服务协议，旨在通过 TCP/IP 和多个平台运行。LDAP 是目录访问协议(DAP)的简化版本，用于访问 X.500 目录。LDAP 处于 IETF 更改控制，并已扩展以满足互联网要求。

一个内部部署的 证书颁发机构(CA)，它的证书由公共的第三方 CA 签名。内部 CA 充当它发布的证书的 root CA，第三方 CA 充当链接到同一第三方 root CA 的其他 CA 发布的证书的根 CA。也称为"链 CA"以及由不同公共 CA 使用的其他术语。

由 Ronald Rivest 开发的消息摘要算法。另请参阅 单向哈希。

配置需要人批准每个证书请求的证书系统子系统的方法。借助这种身份验证形式，servlet 会在身份验证模块处理后将证书请求转发到请求队列。具有适当权限的代理必须在配置文件处理和证书颁发前单独批准每个请求。

请参阅 单向哈希。

以个人或机构形式的实体演示。例如，当网站实际上是需要信用卡付款的网站，但永远不会发送任何好的网站时，网站可能会认为是模糊存储。Misrepresentation 是 模拟 的一种形式。另请参阅 欺骗。

非令牌管理系统。指的是 不直接 处理智能卡的子系统(CA 以及可选的 KRA 和 OCSP)的配置。

消息发送者无法拒绝发送邮件。数字签名 提供了一种非缓解形式。

一组库，旨在支持启用了安全的通信应用程序的跨平台开发。使用 NSS 库构建的应用程序支持 安全套接字层(SSL) 协议进行身份验证、篡改检测和加密令牌接口，以及用于加密令牌接口的 PKCSROX 协议。NSS 也作为软件开发工具包单独提供。

在线证书状态协议。

在访问控制指令中允许或拒绝的特定操作，如读取或写入。

在证书配置文件功能上下文中，它会定义从成功注册特定证书配置文件中的生成的表单。设置每个输出，然后从为此注册配置的所有输出动态创建表单。

1.很多固定长度从任意长度的数据生成，并帮助哈希算法。数字（也称为消息摘要）对于哈希数据是唯一的。数据的任何更改（甚至删除或更改单个字符）都会生成不同的值。

2.哈希数据的内容不能从散列中分离。

一个文件签名方法，使软件开发人员能够签署 Java 代码、JavaScript 脚本或任何类型的文件，并允许用户识别签名代码对本地系统资源的访问。

关联的私钥证书用于为对象签名；与 对象签名 相关的证书。

管理证书请求的公钥加密标准。

管理关键可移植性的公钥加密标准。

管理签名和加密的公钥加密标准。

管理加密令牌（如智能卡）的公钥加密标准。

通过 PKCS the 接口提供加密服务的加密设备的驱动程序，如加密和解密。PKCS the 模块（也称为 加密模块或加密服务提供商 ）可以在硬件或软件中实施。PKCS the 模块始终具有一个或多个插槽，它们可能以某种物理读取器的形式作为物理硬件插槽实施，如智能卡，或软件中的概念插槽。PKCS the module 的每个插槽都可以包含一个令牌，即实际提供加密服务的硬件和软件设备，以及可选的存储证书和密钥。红帽使用证书系统提供了内置的 PKCS the 模块。

公钥加密中使用的一对密钥。公钥是免费发布，并作为 certificate 的一部分发布。它通常用于加密发送到公钥所有者的数据，然后使用对应的 私钥 解密数据。

一组良好的技术和标准，允许实体以电子方式验证其身份或加密电子数据。涉及两个密钥，一个公钥和一个私钥。公钥 作为证书的一部分发布，该证书将该密钥与特定身份相关联。对应的私钥会保留 secret。使用公钥加密的数据只能使用私钥解密。

有助于在网络环境中使用公钥加密和 X.509 v3 证书的标准和服务。

通过名称和密码来自信识别。另请参阅 身份验证、基于证书的验证。

使用私钥恢复授权传输密钥签名的数据，其中包含有关存档最终用户密钥的信息，包括密钥序列号、密钥恢复机构的名称、对应证书的 主题名称 以及归档日期。签名的概念验证数据是密钥恢复授权机构在成功密钥归档操作后向证书颁发机构返回的响应。另请参阅 密钥恢复授权机构传输证书。

公钥加密中使用的一对密钥。私钥已保存 secret，用于解密使用对应 公钥 加密的数据。

由 Rivest 为 RSA 数据安全开发的加密算法。另请参阅 加密算法。

用于创建、部署和管理证书的高度可配置的软件组件和工具。证书系统由五个主要子系统组成，可在不同物理位置的不同证书系统实例中安装： 证书管理器、在线证书状态管理器、令牌密钥服务和令牌处理系统。密钥恢复授权

基于 RSA 算法的 SSL 的 key-exchange 算法。

Rivest-Shamir-Adleman 是用于加密和验证的公钥算法的缩写。它由 Ronald Rivest、Adi Shamir 和 Leonard Adleman 开发，并在 1978 中引入。

证书颁发机构(CA)，在证书链的顶部带有一个自签名证书。另请参阅 CA 证书、子 CA。

请参阅 注册。

Java™ 术语用于定义 Java™ 代码必须在其中操作的限制。

代表证书系统子系统处理特定类型的与最终实体的 Java™ 代码。例如，证书注册、撤销和密钥恢复请求各自由单独的 servlet 处理。

安全哈希算法，美国政府使用的哈希函数。

请参阅 安全套接字层(SSL)。

由 certificate 标识的实体。特别是，证书的 subject 字段包含一个唯一描述认证实体的 主题名称。

唯一描述了 可区分名称(DN) 的 subject 的 certificate。

1.在证书系统中，通过为内部数据库和令牌存储密码，简化了签署红帽证书系统的密码。每次用户登录时，都需要输入此单一密码。

2.用户能够一次登录单个计算机，并由网络中的各种服务器自动进行身份验证。部分单点登录解决方案可以采用多种形式，包括自动跟踪与不同服务器一起使用的密码的机制。证书支持 公钥基础架构(PKI) 中的单点登录。用户可以一次登录到本地客户端的私钥数据库，只要客户端软件正在运行，则依赖 基于证书的验证 访问用户可访问的机构中的每个服务器。

证书由另一个从属 CA 或 root CA 签名的证书颁发机构。请参阅 CA 证书、根 CA。

PKI 子系统的集中存储库或清单。它的主要用途是通过在子系统之间自动建立可信关系来促进新 PKI 服务的安装和配置。

允许客户端和服务器间双向身份验证的协议，以及经过验证和加密的连接建立。SSL 在 TCP/IP 上运行，并在 HTTP、LDAP、III、NNTP 和其他高级别网络协议之上运行。

TPS 和智能卡之间的安全关联，允许根据 TKS 和智能卡 APDU 生成的共享主密钥进行加密。

使用相同的加密密钥来加密和解密给定消息的加密方法。

PKCS the module 的一部分，在硬件或软件中实施，其中包含 token。

包含微处理器并存储加密信息（如密钥和证书）的小设备，并执行加密操作。智能卡实现一些或者所有 PKCS THE 接口。

使用 安全套接字层(SSL) 协议将服务器标识到客户端的证书。

将服务器标识到客户端的过程。另请参阅 客户端身份验证。

认为是其他人。例如，个人可以预先使用电子邮件地址 jdoe@example.com，或者计算机可以将自身识别为称为 www.redhat.com 的网站。欺骗是 模拟 的一种形式。另请参阅 错误代表。

仅用于签名的私钥。签名密钥及其等同的公钥，加上 加密密钥 及其等同的公钥构成了 双密钥对。

请参阅 审计日志。

用于创建数字签名的加密算法。证书系统支持 MD5 和 SHA 签名算法。另请参阅 加密算法、数字签名。

公钥与用于创建数字签名的私钥对应的证书。例如，证书管理器必须具有一个签名证书，其公钥对应于它用来签署其问题的证书。

在实例启动和按需测试证书系统实例时测试的功能。

与 插槽 中的 PKCS the module 关联的硬件或者软件设备。它提供加密服务，并选择性地存储证书和密钥。

高度依赖于个人或其他实体。在 公钥基础架构(PKI) 中，信任是指证书用户和签发证书的 证书颁发机构(CA) 之间的关系。如果 CA 是可信的，则该 CA 发布的有效证书可以被信任。

直接交互企业安全客户端和智能卡的子系统，以管理这些智能卡上的密钥和证书。

令牌管理系统中的子系统，它根据智能卡 APDU 和其他共享信息（如令牌 CUID）为每个智能卡生成特定的独立密钥。

相互相关的子系统 - CA、TKS、TPS 和可选的 KRA - 用于管理智能卡（令牌）上的证书。

LDAP 目录的层次结构。

确保以电子格式接收的数据与同一数据的原始版本完全对应。

连接企业地理位置的途径。VPN 允许划分通过加密频道进行通信，允许身份验证的、通常仅限于专用网络的机密事务。