X.509的基础式公钥密码体制和数字签名。
证书
证书的格式
证书由可信的认证机构CA建立并由CA或者用户自己将其放入目录,以供其他用户方便访问。目录服务器本身并不负责为用户建立公钥证书,仅仅为用户访问公钥提供方便。
x.509证书格式
证书的获取
其他任一用户只要得到有CA的公钥,就能由此得到CA为其签名的公钥。
除了CA外,其他任何人都不能以不被察觉的方式修改证书内容。
证书的吊销
每个证书都有有效期,有些证书还没到截止时间就会因为泄露被发放被吊销列表。每一个CA必须维护一个证书吊销列表CRL,该列表存放所有没有到期但是被提前吊销的证书,包括CA发放给用户和发放给其他CA的证书,这些信息还必须经过CA签名,然后存于列表中供他人查询。
证书吊销列表
每个用户收到他人消息中的证书时,都必须通过目录检测这一帧数是否已经被吊销。为了避免搜索目录引起的延迟以及由此郑家费用开销,用户自己可以维护一个有效证书和被吊销证书的局部缓存区
