公钥基础设施(PKI)构成了现代SSL证书安全和数字信任系统的基础。

了解关键术语有助于组织实施强大的安全措施并对其SSL证书需求做出明智的决策。

Gworg®提供了基本PKI概念的全面概述，以帮助理清复杂的数字安全世界。

核心PKI组件和概念

PKI的基本组成部分包括公钥和私钥对，它们协同工作以实现安全通信。

公钥可以自由分发，但其对应的私钥必须由所有者安全保护。这种非对称加密系统使SSL证书能够有效地保护网络通信安全。

证书颁发机构(CA)是受信任的第三方，负责验证和颁发SSL证书。这些机构遵循严格的行业准则和安全实践，以维护PKI生态系统的完整性。

当CA颁发SSL证书时，他们实际上是在保证SSL证书持有者的合法性。

证书签名请求(CSR)是获取SSL证书的第一步。此编码文件包含申请机构信息和公钥，CA将使用这些信息生成最终的SSL证书。

创建格式正确的CSR对于成功颁发SSL证书至关重要。

身份验证和验证条款

域名验证(DV)、组织验证(OV)和扩展验证(EV)代表SSL证书验证级别的三种主要类型。

每个级别都要求对请求组织的身份进行更彻底的验证，然后才能颁发SSL证书。

通用名称(CN)是指SSL证书将要保护的完全限定域名。对于通配符SSL证书，通用名称会包含一个星号，以表示覆盖多个子域名。

了解正确的通用名称格式有助于防止SSL证书实施问题。

主题备用名称(SAN)允许单个SSL证书保护多个域名。与为每个域名单独购买SSL证书相比，此功能提供了灵活性并节省了成本。

现代SSL证书通常利用SAN功能来保护多个相关域名。

安全协议和标准

传输层安全性(TLS)代表加密通信的当前标准，它是从较旧的安全套接字层(SSL证书)协议发展而来的。

虽然我们仍然使用术语SSL证书，但现代实现利用TLS协议来增强安全性和性能。

X.509定义了SSL证书和其他数字SSL证书的标准格式。

这一国际认可的标准确保了不同系统和应用程序之间的兼容性。所有合法的SSL证书的结构和内容均符合X.509规范。

在线SSL证书状态协议(OCSP)支持实时验证SSL证书的有效性。

OCSPStapling通过允许Web服务器缓存OCSP响应来改进此过程，从而减少查找时间并提高性能，同时保持安全性。

密钥管理和存储

硬件安全模块(HSM)为私钥和其他敏感加密材料提供安全存储。这些专用设备提供物理和逻辑保护，防止未经授权的访问或篡改。

许多证书颁发机构将HSM作为其安全基础设施的一部分。

密钥长度是指SSL证书中使用的加密密钥的大小，通常以位为单位。

密钥长度越长，安全性越高，但需要的计算资源也越多。当前行业标准建议RSA密钥的最小长度为2048位。

SSL证书撤销是指SSL证书需要在其自然到期日之前失效的情况。这种情况可能由于私钥泄露、组织变更或其他安全问题而发生。

SSL证书吊销列表(CRL)和OCSP提供了检查SSL证书有效性状态的机制。