PKI
本文约需 2 分钟阅读
PKI (Public Key Infrastructure,公钥基础设施) 是用于颁发、管理和验证数字证书的机制的总称。认证机构 (CA) 验证公钥所有者并颁发证书,作为 TLS 通信和数字签名的信任基础发挥作用。截至 2025 年,缩短证书有效期 (90 天化) 的趋势正在加速,自动化的重要性进一步提升。
现场使用案例
“我们构建了内部 PKI,并向全体员工颁发了客户端证书。通过在 VPN 连接时不仅要求密码、还要求基于证书的认证,即使认证信息因钓鱼攻击泄露,也能建立起防止非法访问的体制。”
PKI 结构图
PKI 的构成要素
PKI 由根 CA (最高级别的认证机构)、中间 CA (由根 CA 委任的认证机构)、终端实体证书 (颁发给服务器或用户的证书)、CRL/OCSP (确认已吊销证书的手段) 构成。浏览器之所以能够信任 HTTPS 网站,是因为它能从服务器证书沿着信任链 (证书链) 经过中间 CA、根 CA,最终到达浏览器中预先注册的根 CA。PKI 入门书 (Amazon)可以系统地学习。
实务中的应用场景
在企业内部 PKI 中,构建内部 CA 来颁发员工证书,并将其用于 VPN 连接和邮件加密。在 IoT 环境中,使用设备证书来控制只有正规设备才能连接到网络。在云环境中,AWS Certificate Manager 和 Let's Encrypt 实现了证书颁发与更新的自动化,大幅减轻了运维负担。在理解加密基础之后再学习 PKI,更容易把握整体框架。
运维注意事项
PKI 最大的风险是 CA 私钥的泄露。一旦根 CA 的私钥泄露,该 CA 颁发的所有证书的信任都会崩溃。用 HSM 保护 CA 的私钥,并让根 CA 离线运行是铁则。请用强随机密码保护 CA 的管理控制台,并将证书有效期管理自动化。证书管理书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?