標準的 PKI 安全域應具備哪些內容

標準的PKI安全域應具備以下內容：

• 認證機構CA：CA是PKI的核心執行機構，是PKI的主要組成部分，通常稱為認證中心。從廣義上講，認證中心還應該包括證書申請注冊機構RA（Registration Authority），它是數字證書的申請注冊、證書簽發和管理機構。

• 證書和證書庫：證書是數字證書或電子證書的簡稱，它符合X.509標準，是網上實體身份的證明。證書是由具備權威性、可信任性和公正性的第三方機構簽發的，因此，它是權威性的電子文檔。

• 密鑰備份和恢復：密鑰備份和恢復是密鑰管理的主要內容，用戶由于某些原因將解密數據的密鑰丟失，從而使已被加密的密文無法解開。為避免這種情況的發生，PKI提供了密鑰備份與密鑰恢復機制，當用戶證書生成時，加密密鑰即被CA備份存儲；當需要恢復時，用戶只需向CA提出申請，CA就會為用戶自動進行恢復。

• 密鑰和證書的更新：一個證書的有效期是有限的，這種規定在理論上是基于當前非對稱算法和密鑰長度的可破譯性分析；在實際應用中是由于長期使用同一個密鑰有被破譯的危險，因此，為了保證安全，證書和密鑰必須有一定的更換頻度。為此，PKI對已發的證書必須有一個更換措施，這個過程稱為“密鑰更新或證書更新”。

• 客戶端軟件：為方便客戶操作，解決PKI的應用問題，在客戶端裝有客戶端軟件，以實現數字簽名、加密傳輸數據等功能。此外，客戶端軟件還負責在認證過程中，查詢證書和相關證書的撤銷信息，以及進行證書路徑處理，對特定文檔提供時間戳請求等。

• 支持交叉認證：交叉認證就是多個PKI域之間實現互操作。交叉認證實現的方法有多種：一種方法是橋接CA，即用一個第三方CA作為橋，將多個CA連接起來，成為一個可信任的統一體；另一種方法是多個CA的根CA（RCA）互相簽發根證書，這樣當不同PKI域中的終端用戶沿著不同的認證鏈檢驗認證到根時，就能達到互相信任的目的。

• 自動管理歷史密鑰：從以上密鑰更新的過程不難看出，經過一段時間后，每一個用戶都會形成多個舊證書和至少一個當前新證書。這一系列舊證書和相應的私鑰就組成了用戶密鑰和證書的歷史檔案。記錄整個密鑰歷史是非常重要的。

回答所涉及的環境：聯想天逸510S、Windows 10。