PKI (инфраструктура открытых ключей) является основой служб безопасности, которые позволяют группам пользователей использовать безопасную связь посредством использования механизмов безопасности открытого ключа. Эти механизмы подразделяются на 3 основные категории, которые безопасного обмена ключами, проверки подлинности и шифрования.
Любая организация, которая решает реализовать PKI необходимо сначала создать политику широкого безопасности Организации, перечень средств защиты, уровень безопасности, предоставляемая в какие активы, который был ответственным за осуществление и мониторинг таких действий безопасности и протоколы безопасности должен быть принят. Документ политики будет выделить, какие механизмы должны осуществляться и где. Безопасного хранения необходимо определить для хранения любой информации открытого ключа и сертификации безопасности должен быть выбран, или внутренним центром сертификации должны быть идентифицированы. IPSec, сам определяет протоколы для безопасного обмена данными, но PKI определяет все аспекты механизмов безопасности.
Доверие для безопасной связи обменов включена с помощью третьей стороны, которая будет обычно требоваться для обеспечения цифровой подписи удостоверяется, что две стороны принимает участие в обмене данными являются bona fide. Это требует, чтобы обе стороны должны быть согласованы на использование центра сертификации и признать использование цифровых подписей. Существует много CAs (сертификации), чтобы выбрать из, и обе стороны должны согласиться на использование конкретного центра сертификации.
CAs будет зарегистрироваться и удостоверяет цифровые подписи абонентов их клиента с помощью закрытого ключа, используемый для подписи цифрового сертификата...
Составитель начинает жизнь сертификат, принимая список личных данных и подписать его с его закрытым ключом. Это отправляется в центр сертификации, добавляет детали его действительность даты и времени, жизни и серийный номер, все из которых он затем подписывает свой собственный закрытый ключ. Сертифицированные сертификат затем возвращается отправителю, который можно использовать для добавления операции для проверки его подлинности. Если в любое время составитель информацией обменивались подозреваемых, что цифровой сертификат был скомпрометирован, составитель обычно выберет новый набор ключей для создания нового сертификата, но должен первый отзыв первый набор ключей, требуя что CA добавляет скомпрометированных сертификат в список отзыва.
Есть многочисленные проприетарные системами безопасности, которые предлагают хороший безопасный сервис, но он может быть стоит рассмотреть использование открытого ключа, которые являются стандартами, которые независимых поставщиков и поэтому не связать организацию одного поставщика.
Общий набор стандартов для хранения и поиска сертификатов PKI — X.500 серия стандартов МСЭ, X.509, будучи конкретного стандарта для цифрового сертификата службы каталогов. Этот набор стандартов была первоначально разработана для работы со службами каталогов OSI, но также могут быть доступны через IP (Интернет протокол).
В рамках цифровой сертификат X.509 требуются следующие элементы:
Версия номер X.509 используется
ноль = версия 1 (по умолчанию)
Серийный номер сертификата
Идентификатор алгоритма подписи
Имя поставщика,
Срок действия срок действия,
Имя субъекта,
Тема информации открытого ключа
Открытый ключ и алгоритм
Уникальный идентификатор поставщика необязательно,
Конкретную информацию об использовании X.500 и более конкретно цифровые сертификаты X.509 будет объяснено в следующей статье.