• Demo
    保持交易與客戶資料隱密性

    GoDaddy

    Keep payments & customer data private
  • Demo
    創造線上信任者!

    COMODO

    Creating Trust Online
  • Demo
    您的成功來自於信任!

    digicert

    Your Success is Built on Trust
  • Demo
    保護數位認證與信息安全!

    Entrust

    Securing digital Identities & Information
  • Demo
    數位憑證的領導品牌!

    GeoTrust

    a leading certificate authority
  • Demo
    安全地溝通和交易!

    GlobalSign

    Communicate and transact securely.
  • Demo
    保護您的網站!保護您的客戶們!

    Network Solutions

    Secure Your Site!Protect Your Customers
  • Demo
    瑞士軍刀的數位認證和PKI

    StartCom

    The Swiss Army Knife of Digital Certificates & PKI
  • Demo
    最高等級的安全與身分認證

    SwissSign

    Extreme Security & Identity
  • Demo
    一個全新等級的保護和信任

    Symantec

    protect and trust to a whole new level
  • Demo
    最明顯的網站安全性標誌

    Thawte

    The most visible sign of web site security
  • Demo
    最簡單方案滿足您安全性與法規的遵從

    trustwave

    to your complex security and compliance challenges
  • Demo
    低成本,高保證的SSL證書

    instantssl

    low cost high assurance ssl certificates
  • Demo
    官網負擔得起的SSL證書及信任標章

    trustico

    Official Supplier Of Affordable Website SSL Certificates & Trust Seals
  • Demo
    簡單的網站安全性

    rapidssl

    simple site security for less
  • Demo
    由SSL.com來建立客戶信任

    ssl.com

    simple site security for less
  • Demo
    我們知道需要什麼是安全的

    certs4less

    We know what it takes to be secure
  • Demo
    從世界上唯一的高級SSL服務

    thesslstore

    SSL Certificates from the Only Premium SSL Service in the World
  • Demo
    專業,認證,信任

    certcenter

    expert. proven. trusted
  • Demo
    網頁安全解決方案

    secure128

    web security solutions
  • Demo
    保護您的業務,高度信任的SSL證書

    sslcertificate

    secure your business,high trust ssl cert
  • Demo
    保護您客戶的資料

    Namecheap

    Protect your site visitors' data
  • Demo
    我們把信任標識化

    IdenTrust

    We Put The Trust In Identity

PKI(Public Key Infarstruct)公開金鑰基礎建設的說明

PKI中文叫做公開金鑰基礎建設,憑證的應用就是建立在PKI之上,但PKI不只有憑證應用而已,如時間戳記(timestamp)也是應用一種,因此要使用憑證的時候,應該對PKI架構有一些基本的概念,了解一些流程,我們以下簡單說明一下:

我們在用網路進行交易時,不外乎兩件事情,一個是你本人,一個是你做的事,只要證明是你做的(有時候會加上何時),這樣的交易行為就能被認可進行,而數位簽章就是可用來達成這樣的目的,數位簽章是建立公開金鑰的技術上,來確保資料隱密,安全,使用者確認,不可否認與有效性,那公開金鑰的管理就必須是公平,公正,公開且值得信任的架構來進行,這就是我們稱的PKI(Public Key Infarstruct)公開金鑰基礎建設,這其中牽涉到,網路架構設計,密碼技術開發應用,流程的制定與維運管理...等等議題,我這邊已流程的方式來解釋,不做技術的探討,這樣比較容易理解.

以上這張圖片,可以簡單說明PKI的概念,假設A與B要進行交易,那A跟B之間需要用金鑰加密,那私密金鑰在A與B這邊,公開金鑰要放哪?這時後第三方公正單位就出現提供公開金鑰取得的地方,於是A可拿到B的公開金鑰,B也可以拿到A的公開金鑰,這是後就可以解密對方給的東西,同樣的憑證的發放就由第三方公正機構來發放,這機構需要大家認可,也就是需要通過認證,再加上一些軟體商的配合,整個PKI架構就形成!進而達成保戶資料的目的

要提到SSL憑證產品的基礎架構,PKI是最主要的核心,我們從憑證的應用來了解PKI的運作架構與原理,就不難理解CA廠商在開始規劃提供此服務的網路架構方向,您也可以知到此架構在設計上的嚴謹度,憑證在安全上提供一種目前等級最高的一種工具,以下簡單介紹PKI的基礎架構與原理,希望大家可以有個概念!

以下是憑證應用在PKI的角色組成圖,大家先看一下!(PKI架構不只是憑證應用喔,還有許多其他的應用可套用PKI的架構)

1.CA(Certification Authority):這是憑證機構(憑證管理中心),也就是我們常說的CA廠商(非reseller),負責發憑證的工作


2.RA(Registrater Authority):註冊中心,負責審核並註冊申請者的資料,並且把金鑰與申請者關聯在一起,審核的工作需要嚴僅.


3.Repository:叫做儲存庫,其中存放憑證的一些資料,如廢止清冊,CP,CPS...,讓客戶可以查詢目前使用的憑證狀態與公告一些注意事項.


4.Card Issuer:卡片管理中心,負責制發卡片給使用者,如憑證的寫入,卡片的管理,註銷,展期....等項目


5.Subscriber: 用戶,申請或使用證的人或單位


6.Relying Party : 信賴憑證者,如瀏覽器廠商,作業系統廠商(OS),或者一些應用程式的廠商(JAVA,adobe pdf..),他們信賴此憑證是OK的,然侯拿來應用:如數位簽章...!


7.VA(validation authority):加解密簽驗章,主要用在多憑證驗章的時候,負責驗證簽章與提升加解密速度,(一般CA本身只有自己的憑證,因此VA並不會獨立拉出來呈現,但是此角色還是存在的).

 


從網路上找到的圖,很清楚的描述,您可以了解這些角色實際的運作模式,我們舉一個申請的例子,您就知道各角色的功能了

0.憑證廠商開發出憑證產品後,會把跟憑證去跟瀏覽器廠商,作業系統廠商,AP商(Relying Party),申請內建在系統中,以免打開SSL網站時跳出警示
1.申請者(Subscriber)透過網路連上憑證管理中心的SSL憑證網站,看完憑證產品介紹後,打算申請憑證,因此依照業者要求填寫申請資料(CSR檔案),然後送出給業者


2.業者(CA)收到申請後,看是哪一種產品,決定需要用哪一種審核機制,進行線上或者人工驗證申請者資格,審核的工作就是在RA手上


3.審核通過後,RA會通知CA可發證了,CA就會發出憑證給客戶,如果是軟體憑證(電子檔案)就直接提供給客戶使用,如果是卡片,這時候就會請卡管中心(Card Issuer)製作卡片,把憑證放入卡片中,然後給RA寄送實體卡片給客戶.


4.同時CA會在Repository儲存庫中記載憑證到期,廢止,變更....等等資訊,並且提供給客戶來進行查詢.


5.VA:假設使用者使用憑證進行服務時(如線上交易),這時候VA就會針對此交易進行簽章驗證,以確保這筆交易是此憑證的使用者進行的.


以上就是整個申請流程與角色之間的關聯,在上面的圖中,有看到兩個RA,其中一個在機房內,其中一個在外部,其實主要是在設計架構上的不同,有些CA廠商會與外部RA廠商合作,這時候外部RA的角色就出現,一般CA廠商都會有這樣的架構設計!

從我國政府的公開金鑰基礎建設的架構來看(如上圖),有分(National Root)總憑證管理中心),下屬憑證管理中心(CA1,CA2...),橋接式憑證管理中心架構上就有分上下階級關係以及平行階級的關係!跟國外的CA就屬於平行階級的概念,這樣的信任方式能夠呈現前後的認證關係以及周邊的認證關係!

總憑證管理中心(ROOT CA):此CA是整個PKI的起源,它可以簽發憑證給下屬CA或者橋接CA,而一個國家一定有一個總CA,如政府總憑證管理中心(GRCA)
下屬憑證管理中心(Subordinated CA):為PKI架構中下層的CA,如醫療的CA,組織的CA,銀行的CA...等等以應用領域不同成立的CA,簽發的對象為一般用戶
橋接式憑證管理中心(Bridge CA):因為每個CA是由上到下彼此信任,那如果同一層的CA要信任的話,Bridge CA就是負責平行信任,簽發憑證的對象為交互信任的CA,如國家與國家之間的CA要相互信任時.

以上就簡單說明一下憑證應用在PKI架構下個角色之間的關係,其中還有很多的細節,找時間再慢慢分享!