第 59 章 身份管理中的公钥证书
X.509 公钥证书用于验证身份管理(IdM)中的用户、主机和服务。除了身份验证外,X.509 证书还支持数字签名和加密,来提供隐私性、完整性和不可否认性。
证书包含以下信息:
- 证书验证的主题。
- 签发者,即签署证书的 CA。
- 证书有效性的开始和结束日期。
- 证书的有效使用。
- 主题的公钥。
由公钥加密的消息只能由相应的私钥解密。虽然包含的证书和公钥可以公开发布,但用户、主机或服务必须对其私钥保密。
59.1. IdM 中的证书颁发机构
证书颁发机构在信任层次结构中操作。在带有内部证书颁发机构(CA)的 IdM 环境中,所有 IdM 主机、用户和服务信任由 CA 签名的证书。除了这个根 CA 外,IdM 还支持根 CA 授予其依次签署证书能力的子 CA。通常,此类子 CA 能够签名的证书是特定类型的证书,如 VPN 证书。最后,IdM 支持使用外部 CA。下 表显示了 在 IdM 中使用独立 CA 的详情。
| CA 的名称 | 描述 | 使用 | 有用的链接 |
|---|---|---|---|
|
| 基于 Dogtag 上游项目的集成 CA | 集成的 CA 可以为用户、主机和服务创建、吊销和发布证书。 | |
| IdM sub-CAs |
从属于 |
IdM 子 CA 是 | |
| 外部 CA | 外部 CA 是集成 IdM CA 或其子 CA 以外的 CA。 | 使用 IdM 工具,您可以将这些 CA 发布的证书添加到用户、服务或主机,以及删除它们。 |
从证书的角度来看,由自签名 IdM CA 签名和外部签名的证书之间没有区别。
CA 的作用包括以下目的:
- 它发布数字证书。
- 通过签署证书,它证明证书中指定的对象拥有一个公钥。主题可以是用户、主机或服务。
- 它可以吊销证书,并通过证书吊销列表(CRL)和在线证书状态协议(OCSP)提供吊销状态。
其它资源
- 请参阅 规划您的 CA 服务。
