简介

公钥基础设施(Public Key Infrastructure)是为了能够更有效地运用公钥而制定的一系列规范和规格的总称，一般根据其英语缩写而简称PKI。PKI只是一个总称，而并非指某一个单独的规范和规则。例如，RSA公司制定的公钥密码规范就是PKI的一种。

PKI组成要素

用户：使用PKI的人
认证机构：颁发证书的人
仓库：保存证书的数据库
说明：PKI中用户和认证机构不仅局限于“人”，也有可能是计算机，因此也有人称之为主体。
这里写图片描述

用户就是像Alice, Bob这样使用PKI的人，主要包括两种：一种是希望使用PKI注册自己公钥的人，另一种是希望使用已注册的公钥的人，例如：Bob已经注册过公钥，Alice可以使用Bob的公钥给Alice发送消息。

认证机构(Certification Authority)CA对证书进行管理的人，具体进行的操作如下：

生成密钥对(也可以由用户自己生成)
在注册公钥是对本人身份进行验证
生成并颁发证书
在生成证书时，需要使用认证机构的私钥进行数字签名，生成的证书格式一般都是x.509
作废证书
当用户的私钥丢失，被盗时，认证机构需要对证书进行作废，或者当员工从公司离职导致其失去私钥的使用权限，或者是名称变更和证书中记载的内容不一致等情况都需要作废证书。纸质证书只要撕毁就可以作废，但是这里的证书是数字信息，即便从仓库中删除也无法作废，因为用户会保存证书的副本，但是认证机构又不能入侵用户的电脑将副本删除，所以要作废证书，认证机构一张证书作废清单，简称CRL，CRL是认证机构宣布作废的证书一览表，具体的说，是一张已经作废的证书序列号清单，并由认证机构加上数字签名，证书序列号是认证机构在颁发证书是所赋予的编号。

仓库是一个保存证书的数据库，PKI用户在需要的时候可以从中获取证书，它的作用有点像打电话时使用的电话本。