PKI (Public Key Infrastructure, Инфраструктура открытых ключей) — это комплекс технологий, политик, процедур и аппаратно-программных средств, необходимых для создания, управления, распределения, использования, хранения и отзыва цифровых сертификатов и открытых ключей в масштабах организации или интернета. PKI обеспечивает основу для безопасной аутентификации, шифрования и цифровых подписей в недоверенных сетях.
Возможности и ключевые компоненты PKI:
- Центр сертификации (Certificate Authority, CA): Доверенный орган (например, GlobalSign, DigiCert или внутренний корпоративный CA), который выпускает и подписывает цифровые сертификаты, подтверждая тем самым связь между открытым ключом и идентификатором его владельца (человек, сервер, устройство).
- Цифровые сертификаты: Электронные документы стандарта X.509, содержащие открытый ключ, информацию о владельце (Subject), данные об издателе (Issuer — CA), срок действия и цифровую подпись CA, которая гарантирует подлинность сертификата.
- Регистрационный центр (Registration Authority, RA): Функциональный компонент, который проверяет личность заявителя перед тем, как CA выпустит для него сертификат. В небольших PKI роль RA часто выполняет сам CA.
- Хранилище сертификатов (Certificate Repository / Directory): Общедоступная база (часто использующая протокол LDAP), где хранятся выданные сертификаты и списки отозванных сертификатов (CRL).
- Список отозванных сертификатов (Certificate Revocation List, CRL) / OCSP (Online Certificate Status Protocol): Механизмы для проверки того, не был ли сертификат отозван досрочно (из-за компрометации приватного ключа или смены сотрудника) до истечения его срока действия.
- Системы управления жизненным циклом сертификатов (Certificate Lifecycle Management): Программные решения для автоматизации процессов запроса, выпуска, продления и отзыва сертификатов.
PKI является технологическим фундаментом для безопасности в интернете и корпоративных сетях. Она обеспечивает работу протоколов SSL/TLS (защита веб-трафика, знакомый «зеленый замочек» в браузере), S/MIME (защита электронной почты), цифровых подписей документов, аутентификации VPN-соединений, смарт-карт и устройств IoT. Внедрение приватной (корпоративной) PKI позволяет организациям самостоятельно выпускать сертификаты для внутренних нужд, обеспечивая полный контроль. Ключевые принципы PKI — доверие к корневым CA (их открытые ключи встроены в ОС и браузеры) и иерархия доверия (цепочка сертификатов от корневого CA к конечному).
Упоминаний не найдено.
