核心概念

百度PKI公钥管理体系,包括CA认证中心、RA注册机构、在线证书状态检查OCSP、密钥的安全管理等等。并以API和SDK的形式提供。

证书机构CA

CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。

注册机构RA

RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。

证书废除列表CRL

CRL 是由 CA 机构维护的一个列表,列表中包含已经被吊销的证书序列号和吊销时间。用户可以定期去下载这个列表用于校验证书是否已被吊销。在每个证书的详细信息中,都可以找到对应颁发机构的 CRL 地址。
在线证书状态协议OCSP

OCSP 是一个在线证书查询接口,它建立一个可实时响应的机制,用户可以实时查询每一张证书的有效性,解决了 CRL 的实时性问题,OCSP 地址也在证书的详细信息中。

密钥管理

密钥管理是PKI中的一个核心问题,主要是指密钥对的安全管理,包括密钥产生、密钥备份、密钥恢复和密钥更新等。