5.2 PKI實體的定義

PKI管理中所涉及到的實體包括終端實體和證書認證機構。注冊機構也可以被包括在內。

5.2.1　主體和終端實體

終端實體是不以簽署證書為目的而使用其私鑰的證書主體或者是依賴（證書）方。

“主體”在此處是指被授予證書的實體，一般在證書的主體或主體可替換名字段中指定。當要區分主體所使用的工具和/或軟件時（例如：一個本地的證書管理模塊），使用術語“主體設施”。通常優先使用術語“終端實體”而不是“主體”，以防止與證書字段名中的主體相混淆。

需要著重指出的是：終端實體在此處不僅包括應用軟件的使用者，也包括軟件本身（例如IPSec的情況）。這一因素影響著PKI管理操作所使用的協議。例如，與個人用戶相比，應用軟件更有可能確切知道需要使用證書中的哪個擴展項。PKI管理實體也被看作為一個終端實體，因為它們有時候也在證書（或交叉證書）的主體或主體可替換名字段中被指定。如無特殊說明，術語“終端實體”將不會被用來指代PKI管理實體。

所有的終端實體都需要安全可靠的訪問一些本地信息，至少包括：實體自己的名字和私鑰，被該實體直接信任的CA的名字及其公鑰（或公鑰指紋，如果可以通過其它的方式得到自簽名證書）。軟件實現可以使用安全本地存儲機制存儲上述信息，但不限于上述信息（例如：還可以包括用戶自己的證書以及應用軟件特有的信息）。存儲方式也可以不同，例如普通的文件或抗攻擊的密文存儲介質。象這樣安全的本地存儲在這里被稱之為終端實體的個人安全環境。

盡管有關PSE格式的內容已經超出本標準的范圍（與設備及其它信息相關），但這里定義了一種通用的PSE數據交換格式 —— 認證響應消息。

5.2.2　證書認證機構（CA）

證書認證機構是負責創建和分配證書，受用戶信任的權威機構。用戶可以選擇該機構為其創建密鑰。

從終端實體的角度出發，CA可以是，也可以不是一個事實上真正的“第三方”。絕大多數情況下，CA與其所服務的終端實體屬于同一個機構。

同樣，我們使用術語“CA”指代證書中簽發者(issuer)字段所代表的實體。當需要與CA所使用的軟硬件工具相區分時，我們使用術語“CA設施”。

CA設施一般包括離線模塊和在線模塊，只有CA的離線模塊可以使用CA的私鑰。盡管是否這樣做與CA的策略相關，但這取決于軟件實現者。

我們使用術語“根CA”來指代被終端實體直接信任的CA；即安全地獲取根CA的公鑰需要一些額外的步驟。這一術語并不意味著根CA必須處于CA體系層次的頂層，它只是說明該CA是被終端實體直接信任的。

“下級CA”（子CA）不是終端實體的根CA。通常，下級CA不是任何實體的根CA，但這并不是強制的。

5.2.3　注冊機構（RA）

注冊機構是為用戶辦理證書申請、身份審核，證書下載、證書更新、證書注銷以及密鑰恢復等實際業務的辦事機構業務受理點，亦稱證書注冊審核中心。

除了終端實體和CA之外，很多應用環境要求把注冊機構從證書認證機構中獨立出來。（RA存在的原因參見附錄A。）RA所具有的功能將因情況不同而有所不同,可能包括個人身份鑒別、介質分發、作廢報告、名稱分配、密鑰產生、密鑰歸檔等等。

本標準將RA作為可選的組成部分，當RA不存在時，假定CA可以實現RA的功能。從終端實體的觀點看，它們都使用相同的PKI管理協議。

同樣，當需要區分RA和RA所使用的工具時，使用“RA設施”這個術語。

應該注意到RA本身也是一個終端實體，一個被驗證了的終端實體，它有自己的私鑰進行數字簽名和身份認證。CA設施如何把某些終端實體認定為RA則是一個實現問題（本標準不闡述特定的RA認證操作）。并不強制RA必須可以被與其正通信的CA所認證（所以一個RA可以只被認證一次，與多個CA協同工作）。

在某種情況下，即使存在RA，終端實體可能仍然需要和CA直接通信。例如，在RA進行登記和接受審核，而直接與CA通信來更新證書。