2.3.2.1.Chứng chỉ
Chứng chỉ là một tài liệu sử dụng chữ ký số kết hợp khoá công khai với một định danh thực thể (như người, một tổ chức hoặc một máy chủ)
Chứng chỉ không chứa bất kỳ một thông tin bí mật nào. Về cơ bản, nó bao gồm các thành phần sau
Chứng chỉ chứa những thông tin cần thiết như khoá công khai, chủ thể (người sở hữu) , bên cấp chứng chỉ và một số thông tin khác. Tính hợp lệ của các thông tin được đảm bảo bằng chữ ký số của bên cấp chứng chỉ. Người dùng muốn sử dụng chứng chỉ trước hết sẽ kiểm tra chữ ký số trong chứng chỉ. Nếu chữ ký đó hợp lệ thì có thể sử dụng chứng chỉ đó
Một vài loại chứng chỉ
Chứng chỉ khoá công khai đơn giản (Simple Public Key Certificate -SPKC)
Chứng chỉ Pretty Good Privacy (PGP)
Chứng chỉ thuộc tính (Attribute Certificate -AC)
Tất cả các loại chứng chỉ này đều có cấu trúc dạng riêng biệt. Hiện nay chứng chỉ khoá công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI.
Chứng chỉ X.509
Chứng chỉ X.509 được Hiệp hội viễn thông quốc tế (ITU) đưa ra lần đầu tiên năm 1998
Chứng chỉ này gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải có trong chứng chỉ, phần thứ hai là phần chứa một số các trường phụ, hay còn gọi là trường mở rộng. Các trường mở rộng thường được dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống
Version: Phiên bản của chứng chỉ
Serial Number: Số serial của chứng chỉ, là định danh duy nhất của chứng chỉ, có giá trị nguyên
Signature Algorithm: Thuật toán của chữ ký : Chỉ ra thuật toán CA sử dụng để ký chứng chỉ
Issuer: Tên chủ thể phát hành chứng chỉ
Valid from – Valid to: Thời hạn của chứng chỉ Subject: Tên chủ thể của chứng chỉ
Hình 6: Khuôn dạng chứng chỉ X.509v3 2.3.2.2.Kho chứng chỉ
Chứng chỉ được cấp bởi CA kết hợp khoá công khai với nhận dạng của thực thể B. Tuy nhiên nếu thực thể A không có khả năng xác định vị trí chứng chỉ này một cách dễ dàng thì anh ta cũng không có hiệu quả gì hơn so với việc chứng chỉ này chưa được tạo ra
Do đó, phải có một kho chứng chỉ trực tuyến (online repository), quy mô lớn và mềm dẻo và phải được đặt ở vị trí mà A có thể xác định vị trí chứng chỉ mà anh ta cần để truyền thông an toàn
Môt PKI quy mô lớn sẽ trở nên vô ích nếu không có kho chứng chỉ
2.3.2.3.Hủy bỏ chứng chỉ
CA ký chứng chỉ gắn kết khóa công khai với nhận dạng người dùng. Tuy nhiên trong môi trường thực tế, các sự kiện sẽ có lúc đòi hỏi phải phá bỏ sự gắn kết này. Sự phá bỏ gắn kết cặp khoá công khai với nhận dạng của một thực thể có thể là do
Sự thay đổi nhận dạng
Khoá bí mật bị hacker khám phá ra
Do đó cần phải có một cách thức để thông báo cho những người dùng còn lại rằng khoá công khai của định danh này không còn được chấp nhận nữa. Cơ chế cảnh báo này trong PKI được gọi là huỷ bỏ chứng chỉ (Certificate Revocation)