pkica數(shù)字證書

1、PKI技術(shù),第一講 綜述,什么是PKI？,Public Key Infrastructure公開密鑰基礎(chǔ)設(shè)施普適性、系統(tǒng)是用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施 (Carlistle Adams)產(chǎn)生、管理、存儲、分發(fā)和撤銷基于公開密鑰密碼學(xué)的公鑰證書所必須的軟件、硬件、人、策略和處理過程的集合 (IETF)是硬件、軟件、策略和人組成的系統(tǒng)，當(dāng)完全并且正確的實施后，能夠提供一整套的信息安全保障，這些保障對

2、保護敏感的通信和交易是非常重要的 (GAO：美國審計總署 ),澄清概念,PKIPublic Key InfrastructureCACertification Authority數(shù)字證書認(rèn)證中心、認(rèn)證中心、CA中心是PKI系統(tǒng)的最核心部件可以認(rèn)為PKI的其他部件是依附于CA的所以，在非學(xué)術(shù)場合，我們看到CA和PKI的概念是混用,基礎(chǔ)設(shè)施,PKI的類比--電力基礎(chǔ)設(shè)施能夠遞歸--使用電力控制的變電站PKI與應(yīng)用的分離--

3、電器PKI與防火墻等其它安全技術(shù)正如火車不能與電力基礎(chǔ)設(shè)施進行比較一樣,PKI就在我們身邊,電子商務(wù)（包括移動商務(wù)）電子支付，電子合同、數(shù)字簽名,國防在線訪問軍事資源、通信保密、文件保密、秘密分級管理、各部門通信協(xié)調(diào)。,電子政務(wù)電子公章、資源訪問控制、文件保密,登錄授權(quán),VPN,各種實例（一）,中國各大銀行已大規(guī)模地推廣基于個人數(shù)字證書的網(wǎng)上銀行身份認(rèn)證，防止銀行賬號被竊和網(wǎng)銀欺詐25家銀行采用數(shù)字證書，根據(jù)央行05年10月

4、26日頒布的《電子支付指引》，凡使用數(shù)字證書等安全認(rèn)證方式的網(wǎng)銀用戶，將不會存在每日、每筆網(wǎng)上支付金額的限制ICAO（國際民用航空組織International Civil Aviation Organization）制定了PKI數(shù)字證書的電子護照標(biāo)準(zhǔn)每個香港公民一人一個智能身份證，每個智能身份證上配發(fā)一個全球通用的由香港郵政局頒發(fā)的個人數(shù)字證書,各種實例（二）,中國電子口岸基于移動運營商無線網(wǎng)絡(luò)（聯(lián)通CDMA或移動GPRS），利用

5、手機等移動終端，實現(xiàn)公眾的，商務(wù)的，政務(wù)的應(yīng)用。基于中國電子口岸CA系統(tǒng)，建立起電子口岸的WPKI移動應(yīng)用安全架構(gòu)，最終滿足企業(yè)的安全要求CERNET2網(wǎng)絡(luò)中間件技術(shù)研究與試驗：證書服務(wù)和PKI技術(shù)校園信息化基礎(chǔ)平臺：基于CA/PKI的信息安全技術(shù)美國軍方采用基于PKI技術(shù)的網(wǎng)絡(luò)身份證/工作證,,,,國內(nèi)外PKI發(fā)展,二十世紀(jì)八十年代，美國學(xué)者提出了PKI（公開密鑰基礎(chǔ)設(shè)施）的概念1996年成立了聯(lián)邦PKI指導(dǎo)委員會1999年

6、，PKI論壇成立 2000年4月，美國國防部宣布要采用PKI安全倡議方案 2001年6月13日， “亞洲PKI論壇”成立2002年2月經(jīng)國家計委批準(zhǔn)，正式成立了“中國PKI論壇”籌備工作組2002年7月2日到5日在北京召開了“亞洲PKI論壇”第二屆年會 2007年11月7日，“亞洲PKI聯(lián)盟”（APKIC，Asia PKI Consortium）成立大會在中國西安召開。,世界各國的PKI建設(shè),美國——聯(lián)邦橋計劃加拿大——加拿

7、大PKI計劃澳大利亞、英國、法國、德國、意大利、奧地利、比利時、希臘、荷蘭、芬蘭、日本、俄羅斯等幾十個國家都在發(fā)展、使用PKI歐洲——歐洲橋CA，促進歐洲各種的CA互聯(lián)互操作,美國——聯(lián)邦橋,連接各部門的PKI/CA系統(tǒng),美國郵政服務(wù)部門（Postal Service）已經(jīng)建立了Netpost Certified，它將為各機構(gòu)提供安全、便宜的電子信息傳輸服務(wù)社會安全部門（Social Security）計劃建立一個PKI以允許其

8、雇員能夠通過Internet網(wǎng)提供工資信息美國國防部計劃建立一個PKI用于軍事采購其他部門,韓國,PKI體系建設(shè)NPKI （發(fā)證給市民）6家認(rèn)可CA，1個根CA（韓國信息安全局）GPKI （發(fā)證給內(nèi)部服務(wù)機構(gòu)） 1個根CA（政府計算機中心），其它政府部門CA應(yīng)用發(fā)展證書發(fā)放達到7.2百萬在利用手機無線文檔服務(wù)應(yīng)用項目上與韓國三星等大型企業(yè)結(jié)成戰(zhàn)略聯(lián)盟,應(yīng)用舉例,基于PKI技術(shù)的安全Internet投票系統(tǒng)2002年世

9、界杯賽中的最有價值球員,中國的PKI建設(shè)(1),區(qū)域型上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA（簡稱HBECA）；海南電子商務(wù)認(rèn)證中心（HNECA）；廣東省電子商務(wù)認(rèn)證中心 行業(yè)型金融、電信和外經(jīng)貿(mào)等行業(yè)建立的相關(guān)證書機構(gòu) 國內(nèi)十三家商業(yè)銀行聯(lián)合建設(shè)中國金融認(rèn)證中心(CFCA)中國電信組建的CTCA由國家外經(jīng)貿(mào)部建立的中國國際電子商務(wù)中心（CIECC）國家根CA國家密碼管理局

10、,中國的PKI建設(shè)(2),獲證機構(gòu)和發(fā)證數(shù)量，逐年增加至2005年底，15家CA，發(fā)證總量236萬至2006年底，21家CA，累計發(fā)證546萬至2007年底，26家CA，初步統(tǒng)計發(fā)證約740多萬上海CA累計發(fā)證突破90萬（2007年7月）CFCA累計發(fā)證突破100萬（2006年7月）山東CA已發(fā)放證書40多萬張（2006年1月）……,中國的PKI建設(shè)(3),應(yīng)用領(lǐng)域網(wǎng)上支付2006年3月，支付寶公司推出國內(nèi)支付領(lǐng)域首張

11、數(shù)字證書電子病歷截至2007年12月，廣西醫(yī)科大學(xué)第一附屬醫(yī)院36個臨床病區(qū)采用電子病歷，5萬份電子病歷使用電子簽名2007年，廣東中山市人民醫(yī)院1300余名醫(yī)護人員制作了證書網(wǎng)上交易平臺2007年，廣東省開通網(wǎng)上藥品采購平臺，發(fā)放6000多張證書,中國的PKI建設(shè)(4),技術(shù)產(chǎn)品18項通過國家密碼管理局技術(shù)鑒定的電子認(rèn)證系統(tǒng)（SRQ系列）截至2006年底，電子認(rèn)證和數(shù)字證書應(yīng)用的軟件系統(tǒng)和硬件設(shè)備產(chǎn)品達千種以上，涉及機構(gòu)

12、超過300家,亞洲PKI論壇,發(fā)展歷史從2000 年開始，由日本、韓國、新加坡等發(fā)起，醞釀創(chuàng)建亞洲 PKI 論壇。2001年6月，在東京舉行亞洲 PKI 論壇成立大會日本當(dāng)選為首屆亞洲 PKI 論壇主席，中國、韓國和新加坡當(dāng)選為副主席,亞洲PKI論壇的活動,召開信息交流研討會，促進 PKI 制度、技術(shù)跨國界協(xié)調(diào)推動所需調(diào)查、驗證實驗以及工作組活動有效協(xié)調(diào)與其他地區(qū)各類電子商務(wù)活動的合作參與 PKI 技術(shù)標(biāo)準(zhǔn)化和成員間互操作活

13、動調(diào)研電子交易相關(guān)法律、法規(guī)推動論壇成員間的友好往來等加強亞洲國家和地區(qū)與美國的 PKI 論壇、歐洲 EESSI 等 PKI 組織聯(lián)系，促進國際間 PKI 互操作體系的建設(shè)發(fā)展,亞洲 PKI 論壇工作小組,技術(shù)互操作組an expert group of PKI technology, who addresses PKI interoperability issues in order to establish a certif

14、ication system, which is available in Asia as a common infrastructure.商務(wù)應(yīng)用組research activities & case study related to business case and applications of each region法規(guī)組issues a legal report yearly through the memb

15、ers' discussion and research concerning cross-border e-commerce國際合作組initiate, facilitate and realize the mutually beneficial information sharing,亞洲PKI聯(lián)盟（1）,2006年9月，成立了由中國、韓國、中華臺北三方組成的改革計劃組（TPT，Transformation Planni

16、ng Team），共同協(xié)商論壇的改革事務(wù)。2007年11月7日在中國西安，原亞洲PKI論壇改革為亞洲PKI聯(lián)盟（APKIC，Asia PKI Consortium)，組織的工作重點和工作領(lǐng)域?qū)腜KI技術(shù)/政策轉(zhuǎn)變?yōu)榇龠MPKI產(chǎn)業(yè)市場應(yīng)用的發(fā)展。,亞洲PKI聯(lián)盟（2）,聯(lián)盟主要將在以下方面進行工作： 提高亞太地區(qū)PKI應(yīng)用系統(tǒng)間的互操作性，以建立互聯(lián)互通的無縫電子商務(wù)環(huán)境，促進PKI技術(shù)得到更為廣泛的市場應(yīng)用，促進整個PKI產(chǎn)業(yè)鏈

17、中各機構(gòu)、廠商的共贏。繼續(xù)致力于技術(shù)推廣、標(biāo)準(zhǔn)制定、國際合作等原有工作目標(biāo)。考慮到亞太地區(qū)PKI技術(shù)發(fā)展的不平衡，聯(lián)盟將繼續(xù)致力于培訓(xùn)PKI相關(guān)技術(shù)人才、出版書籍、召開講座和會議等。在新的APKIC中，成員結(jié)構(gòu)將發(fā)生變化，新的成員類型將被允許進入聯(lián)盟。企業(yè)、非營利組織和個人可以直接成為會員，從而更加直接地在APKIC的各種事務(wù)中發(fā)揮作用。,國內(nèi)外的PKI相關(guān)立法,1995年，美國猶他州頒布了《數(shù)字簽名法》2000年6月30日，美

18、國總統(tǒng)克林頓正式簽署了美國《全球及全國商業(yè)電子簽名法（The Electronic Signatures in Global and National Commerce (e-SIGN) Act）》加拿大1999年9月30日頒布了《Uniform Electronic Commerce Act 》，該法律規(guī)定了傳統(tǒng)簽名與數(shù)字簽名有同等的法律地位，允許政府使用電子技術(shù)提供服務(wù)和與公民通訊。歐盟數(shù)字簽名法律《EU Digital Si

19、gnature Directive》于2001年7月24日正式生效法國2000年2月29日頒布了電子簽名法案，于2001年4月1日生效。,國內(nèi)外的PKI相關(guān)立法,德國《數(shù)字簽名法（Digital Signature Law）》于2001年3月22日開始生效。韓國1998年正式通過數(shù)字簽名法，1999年7月這一法律開始正式實施 泰國2000年3月14日頒布了《the Electronic Transaction Bill and E

20、lectronic Signature Bill》馬來西亞于1997年頒布了《Digital Signature Act》 新加坡于1998年頒布《電子商務(wù)法》，有關(guān)電子簽名的法律規(guī)定是該法最核心的內(nèi)容,《中華人民共和國電子簽名法》,2005年4月1日，《中華人民共和國電子簽名法》正式實施電子簽名效力等同傳統(tǒng)文筆簽名《電子簽名法》：電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。信息

21、產(chǎn)業(yè)部《電子認(rèn)證服務(wù)管理辦法》國家密碼管理局《電子認(rèn)證服務(wù)密碼管理辦法》目前PKI技術(shù)是實現(xiàn)電子簽名的最佳技術(shù)手段,《電子簽名法》的重要內(nèi)容,第一，確立了電子簽名的法律效力明確了在眾多的電子簽名方法和手段中，滿足什么條件的電子簽名才具有與手寫簽名或者蓋章同等的效力 第二，對于電子數(shù)據(jù)，對電子形式的文件作了相關(guān)規(guī)定電子文件在什么情況下才具有法律效力電子文件在什么情況下可以作為證據(jù)使用規(guī)定了確定電子文件發(fā)送人、發(fā)送時間和發(fā)送

22、地點的標(biāo)準(zhǔn),PKI的標(biāo)準(zhǔn)化,最主要的PKI標(biāo)準(zhǔn)ITU-T X.509IETF PKIX二者基本上是相互兼容的，其他如：US FPKI，美國聯(lián)邦PKI規(guī)范US MISPC，最小互操作規(guī)范GOC PKI，加拿大PKI規(guī)范應(yīng)用標(biāo)準(zhǔn)S/MIMEIPSECTLS/SSLCryptoAPI,中國的PKI標(biāo)準(zhǔn)化,2002年4月15日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會成立PKI/PMI工作組（WG4）國內(nèi)外PKI/PMI標(biāo)準(zhǔn)體系的

23、分析研究PKI/PMI標(biāo)準(zhǔn)體系國內(nèi)急用的標(biāo)準(zhǔn)調(diào)研完成一批PKI/PMI基礎(chǔ)性標(biāo)準(zhǔn)的制定工作信息產(chǎn)業(yè)部《電子認(rèn)證服務(wù)管理辦法》國家密碼管理局《電子認(rèn)證服務(wù)密碼管理辦法》,WG4工作,國家標(biāo)準(zhǔn)（X509V4/V3版）的轉(zhuǎn)化工作和信息安全有關(guān)專用術(shù)語國內(nèi)外PKI/PMI標(biāo)準(zhǔn)現(xiàn)狀的分析PKI/PMI標(biāo)準(zhǔn)體系基于X.509 v3的國內(nèi)證書X509C證書格式規(guī)范PKI組件最小互操作規(guī)范X509在線證書狀態(tài)查詢協(xié)議X509 PK

24、I證書管理協(xié)議介質(zhì)接口標(biāo)準(zhǔn)AA標(biāo)準(zhǔn)CP/CPS標(biāo)準(zhǔn)PKI安全支撐平臺技術(shù)規(guī)范PKI應(yīng)用支撐平臺技術(shù)規(guī)范基于PKI的數(shù)據(jù)共享可信時間戳標(biāo)準(zhǔn)PKI系統(tǒng)安全保護等級評估準(zhǔn)則/技術(shù)要求,相關(guān)標(biāo)準(zhǔn)規(guī)范日益完善,國家標(biāo)準(zhǔn)截至2007年底，正式發(fā)布66項信息安全技術(shù)標(biāo)準(zhǔn)（其中18項與PKI密切相關(guān)，在2006－2007年發(fā)布7項）處于報批稿階段的信息安全技術(shù)標(biāo)準(zhǔn)12項，其中6項與PKI密切相關(guān)2007年第五批電子行業(yè)和信息技術(shù)國

25、家標(biāo)準(zhǔn)制修訂計劃中，其中3項與PKI密切相關(guān)，預(yù)計2008年完成國家密碼管理局2005年6月《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》2007年8月《數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》、《數(shù)字證書認(rèn)證系統(tǒng)檢測規(guī)范》、《證書認(rèn)證密鑰管理系統(tǒng)檢測規(guī)范》,PKI能夠提供什么？,全面的信息安全支持真實性（標(biāo)識與鑒別）完整性（不被修改，沒有錯誤）機密性（隱私與保密）非否認(rèn)性（責(zé)任確定）可用性（可獲得，系統(tǒng)穩(wěn)定性）,真實性（身份標(biāo)識與認(rèn)證

26、）,實體驗證人口令，動態(tài)口令，擁有的設(shè)備，PKI設(shè)備主機IP地址，MAC地址，對稱密碼，PKI信息驗證MAC， PKI（數(shù)字簽名，同時提供了完整性）,口令,口令是最常用的認(rèn)證方式，也是最好理解的不需要特殊的硬件，不需要專門的口令輸入器口令系統(tǒng)的安全性依賴于足夠的技術(shù)手段保護巨大的認(rèn)證數(shù)據(jù)庫對抗重放攻擊對抗窮舉暴力攻擊不可能記住足夠長的、足以對抗暴力攻擊的口令,完整性,保證數(shù)據(jù)不被改動，包括非人為的改動或人為的無意

27、或惡意的篡改 檢錯、糾錯碼（針對機器錯誤、傳輸錯誤）安全MAC/帶密鑰HASH（針對第三方攻擊，不能防止對方對消息的篡改）數(shù)字簽名（PKI）,機密性,保證信息不被未授權(quán)的其他人獲得 訪問控制如限制某些人對某些文件的讀寫權(quán)限 自主訪問控制和強制訪問控制 加密對稱密碼可利用基于PKI的密鑰協(xié)商非對稱密碼和PKI信息隱藏將一段信息藏在另一段信息中,非否認(rèn),指能夠提供一種證據(jù)，確認(rèn)原始發(fā)送者是誰并保證數(shù)據(jù)未被修改，這種證

28、據(jù)是第三方可以驗證的。在通信雙方發(fā)生爭議的時候提供法律的證據(jù)。 完整性是由通信對方認(rèn)可和驗證，而不可否認(rèn)應(yīng)該由第三方來進行驗證和仲裁 非對稱算法，PKI,時間戳,在有些交易中，時間是非常關(guān)鍵的因素例如，招投標(biāo)證明一組數(shù)據(jù)在某個特定時間是否存在，例如電子交易或電子文檔等基于PKI技術(shù)采用請求響應(yīng)機制，對數(shù)據(jù)的散列值和時間進行簽名使用可信時間源（天文臺授時，NTP時間同步）,從對稱加密算法到PKI,對稱加密算法也能夠解決信息

29、安全的很多問題非對稱加密算法進一步到PKI,對稱算法,知道如何加密=知道如何解密知道如何驗證，就基本知道如何假冒知其然就知其所以然加密和解密過程中的密鑰是一致的（或者說一個密鑰很容易從另一個密鑰中導(dǎo)出）,對稱算法不適合于大規(guī)模使用,未曾謀面，缺少以前的聯(lián)系難以密鑰協(xié)商用戶數(shù)目增多分發(fā)和管理密鑰（Key Management）困難（多，變）安全性問題（密鑰泄露）性能問題（瓶頸）,非對稱算法/公鑰算法,非對稱密碼（公鑰

30、密碼）算法想法的提出1976年，Diffie、Hellman在《密碼學(xué)的新方向》（New Directions in Cryptography）一文中提出來）非對稱密碼，也稱為公鑰密碼算法。Asymmetrical cryptographyPublic key cryptography,非對稱算法/公鑰算法,知道加密，但不知道解密知道他就是他，但不知道為什么他就是他原理：數(shù)學(xué)計算巨大（RSA）提供數(shù)字簽名提供秘密密鑰的密

31、鑰管理公開公鑰，秘密保存私鑰,從非對稱算法到PKI,非對稱密鑰密碼的使用需要一個正確的方法，需要一個標(biāo)準(zhǔn)體系的支持 以非對稱密鑰密碼的原理為基礎(chǔ)設(shè)計和建設(shè)的、提供電子交易安全服務(wù)的一種網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)設(shè)施就是PKI,從非對稱算法到PKI,技術(shù)保障如何保護用戶的私鑰－－密鑰備份和恢復(fù)系統(tǒng)如何獲得通信對方的公開密鑰，并確保所得到的公開密鑰就是對方的－－認(rèn)證機構(gòu)CA證書發(fā)布、查詢應(yīng)該有一個一致的標(biāo)準(zhǔn)－－資料庫證書撤銷時也需要有一個合

32、理的規(guī)范以保證大規(guī)模網(wǎng)絡(luò)下的互操作性能－－CRL如何開發(fā)應(yīng)用－－PKI應(yīng)用接口只有解決這些技術(shù)問題，非對稱密鑰密碼才能投入大規(guī)模使用,從非對稱算法到PKI,PKI中的各種要素權(quán)威機構(gòu)CA注冊機構(gòu)RA客戶端資料庫數(shù)字證書證書狀態(tài)服務(wù)和證書撤銷列表密鑰產(chǎn)生、備份及恢復(fù)系統(tǒng)應(yīng)用接口,PKI的組成,CA簽發(fā)數(shù)字證書交叉認(rèn)證證書撤銷（也可使用獨立的CRL Issuer）RA注冊機構(gòu)（Registration Auth

33、ority）作為CA對外的接口接收用戶的各種請求信息資料庫公開發(fā)布各種PKI的數(shù)據(jù)（數(shù)字證書、CRL等）,PKI的組成,證書持有者擁有公私密鑰對和相應(yīng)證書的通信方可以是人、設(shè)備、進程等等通常，也稱為PKI訂戶，subscriberPKI用戶享受PKI服務(wù)的實體，PKI userPKI訂戶同時也肯定是PKI用戶某些時候，用戶和訂戶是混用的客戶端軟件用戶或訂戶享受PKI服務(wù)的接口、途徑,PKI的重要基礎(chǔ)概念,公鑰/

34、私鑰/密鑰數(shù)字證書CA,公鑰/私鑰,非對稱算法中，用于加密的、用于驗證簽名的、可公開的密鑰，稱為公鑰用于解密的、用于計算簽名的、必須秘密保存的密鑰，稱為私鑰,,公鑰/私鑰的產(chǎn)生,可由用戶自主產(chǎn)生使用特定的安全設(shè)備（例如USB Key、計算機軟件等）第三方權(quán)威機構(gòu)統(tǒng)一產(chǎn)生CA密鑰管理機構(gòu)同時對私鑰進行了備份合法監(jiān)聽、司法取證的需要,數(shù)字證書,簡稱證書、PKI證書，是將實體屬性和相應(yīng)公鑰綁定在一起的數(shù)據(jù)文件。該文件由權(quán)威

35、機構(gòu)（也就是CA），進行數(shù)字簽名，并公開發(fā)布?？衫肅A的公鑰進行公開驗證。,CA,PKI中的核心部件負(fù)責(zé)產(chǎn)生數(shù)字證書將用戶的公鑰和用戶屬性信息組合在一起，然后進行數(shù)字簽名，按特定的格式標(biāo)準(zhǔn)組織，得到完整的PKI數(shù)字證書,相互關(guān)系示意圖,,,,,證書序列號 xxxxx:,有效期: Nov.08,2001 - Nov.08,2008,用戶名組織名部門,Status:,公鑰: ie86502hhd009dkias736ed55e

36、wfgk98dszbcvcqm85k309nviidywtoofkkr2834kl,,簽名信息,,,,公鑰,私鑰,,認(rèn)證,CA對用戶的認(rèn)證檢查所有將要出現(xiàn)在數(shù)字證書中的信息的真實性、以及其他（例如用戶的財產(chǎn)情況），通常由RA來完成。認(rèn)證的結(jié)果就是：產(chǎn)生了用戶的數(shù)字證書或者CA拒絕簽發(fā)證書根據(jù)認(rèn)證過程的嚴(yán)格程度不同，數(shù)字證書的等級（可信任程度）也是不同的在PKI中，稱為CPS認(rèn)證業(yè)務(wù)聲明和CP證書策略,一般的證書產(chǎn)生流程,,,,

37、狀態(tài)查詢,認(rèn)證機構(gòu),,,證書資料庫,注冊機構(gòu)RA,發(fā)布證書及CRL,私鑰,公鑰,證書申請,證書,公鑰,公鑰,公鑰,,交叉認(rèn)證Cross Certification,CA對另一個CA的認(rèn)證，稱為交叉認(rèn)證和對用戶的檢查類似，要檢查另一個CA的各種情況，包括CP/CPS。交叉認(rèn)證的結(jié)果就是：產(chǎn)生交叉證書利用交叉證書可以驗證其他CA系統(tǒng)的訂戶,CRL和證書撤銷,Certificate Revocation List證書撤銷列表，證書黑名