PKI体系结构之SCEP

PKI的基本组成:
 

 

1 终端实体

证书的申请者和持有者。既证书格式中的主体。

2 认证中心（CA）

CA 是证书的颁发机构，是PKI 的核心，职责是接收终端用户的申请，决定是否为其颁发证书；处理证书的更新请求；处理证书的查询请求；发布CRL 等。

3 RA
协助CA 负责为已受权的证书申请者制做、发放和管理证书，在RA 存在的状况下，终端实体经过RA 提出证书申请，此时终端实体除了得到CA 自签名证书外，还要得到由CA 颁发的RA 证书。

4 证书库

证书库是CA颁发证书和撤消证书的集中存放地。

SCEP，Simple Certificate Enrollment Protocol，简单证书登记协议。 由Cisco公司开发，用于网络设备的证书登记协议，采用PKCS#10和PKCS#7来支持证书的请求和响应消息。SCEP支持CRL和网络设备做出的证书询问，SCEP不是完整的证书管理协议，SCEP是为网络设备部署PKI的唯一可行的选择。

SCEP 在申请证书前须要具有如下两个前提条件：具备一对RSA 密钥；已知CA 服务器URL。SCEP 拥有的这对密钥便是未来CA 颁发的服务器证书中SubjectPublicKeyInfo域中要包含的内容，同时，SSL 在剩余的创建链接过程当中还要使用其中的密钥信息，所以密钥的生成能够交由SSL 模块完成，以后再将密钥提供给SCEP 用来申请证书。由于SCEP 申请证书的过程用到了HTTP 消息，因此必须知道CA 服务器的URL。

更正最下面那条线是多余的