加密與解密原理網(wǎng)絡(luò)空間不是“法外之地”。網(wǎng)絡(luò)空間是虛擬的，但運(yùn)用網(wǎng)絡(luò)空間的主體是真實(shí)存在的，大家都應(yīng)該遵守法律，明確各方的權(quán)利和義務(wù)。文字學(xué)習(xí)王小云：全球密碼學(xué)界傳奇拓展主題愛國主義、科技強(qiáng)國、技能強(qiáng)國在Internet的傳輸中，基于TCP/IP協(xié)議棧封裝的數(shù)據(jù)是明文傳輸?shù)模@樣就會(huì)存在很多潛在的危險(xiǎn)。比如：密碼、銀行帳戶的信息被竊取、篡改，用戶的身份被冒充，遭受網(wǎng)絡(luò)惡意攻擊等。網(wǎng)絡(luò)中應(yīng)用加解密技術(shù)，可對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)處理，降低信息泄漏的風(fēng)險(xiǎn)。學(xué)完本課程后，您將能夠：描述加解密的發(fā)展歷程描述不同加解密的過程掌握加解密算法的原理描述PKI證書體系架構(gòu)掌握PKI證書體系工作機(jī)制加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制加密技術(shù)加密是利用數(shù)學(xué)方法將明文（需要被隱蔽的數(shù)據(jù)）轉(zhuǎn)換為密文（不可讀的數(shù)據(jù)）從而達(dá)到保護(hù)數(shù)據(jù)的目的。密鑰K信息密文C信息明文PC=En(K,

P)加密技術(shù)作用加密技術(shù)保密性鑒別性抗抵賴性完整性加密技術(shù)發(fā)展史Scytale凱撒密碼雙軌算法密碼機(jī)加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制加密技術(shù)分類對(duì)稱加密又稱為共享密鑰加密，它使用同一個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。非對(duì)稱加密加解密使用兩個(gè)不同的密鑰，私鑰用來保護(hù)數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗(yàn)信息及其發(fā)送者的真實(shí)性和身份。密鑰：公鑰&私鑰。對(duì)稱加密算法對(duì)稱密鑰對(duì)稱密鑰加密解密對(duì)稱密鑰對(duì)稱密鑰⑥④①②③⑤非對(duì)稱加密算法乙的公鑰乙的私鑰乙的公鑰乙的私鑰加密解密⑥④①②③⑤缺點(diǎn)優(yōu)點(diǎn)對(duì)稱和非對(duì)稱加密比較密鑰分發(fā)問題加解密速度快加解密對(duì)速度敏感密鑰安全性高對(duì)稱加密非對(duì)稱加密數(shù)據(jù)加密-

數(shù)字信封乙的私鑰乙的公鑰對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰乙的公鑰乙的私鑰加密加密解密解密⑥④①②③⑤⑦⑧⑨⑩⑦數(shù)據(jù)驗(yàn)證

-數(shù)字簽名乙的私鑰乙的公鑰甲的私鑰甲的公鑰指紋指紋指紋乙的公鑰乙的私鑰甲的私鑰甲的公鑰加密HashHash數(shù)字簽名數(shù)字簽名加密解密解密指紋一致，接收?qǐng)?bào)文；指紋不一致，丟棄報(bào)文。⑥④①②③⑤⑦⑧⑨⑩⑧????加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制對(duì)稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2，RC5，RC6SM1，SM4非對(duì)稱加密算法非對(duì)稱加密算法DHRSADSA散列算法散列算法：把任意長度的輸入變換成固定長度的輸出。常見散列算法MD5（MessageDigestAlgorithm5）SHA（SecureHashAlgorithm）SM3（SeniorMiddle3）加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制數(shù)字證書數(shù)字證書簡稱證書，它是一個(gè)經(jīng)證書授權(quán)中心（即在PKI中的證書認(rèn)證機(jī)構(gòu)CA）數(shù)字簽名的文件，包含擁有者的公鑰及相關(guān)身份信息。數(shù)字證書可以說是Internet上的安全護(hù)照或身份證。當(dāng)人們到其他國家旅行時(shí)，用護(hù)照可以證實(shí)其身份，并被獲準(zhǔn)進(jìn)入這個(gè)國家。數(shù)字證書提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書技術(shù)解決了數(shù)字簽名技術(shù)中無法確定公鑰是指定擁有者的問題。數(shù)字證書證書有四種類型自簽名證書：又稱為根證書，是自己頒發(fā)給自己的證書，即證書中的頒發(fā)者和主體名相同。申請(qǐng)者無法向CA申請(qǐng)本地證書時(shí)，可以通過設(shè)備生成自簽名證書，可以實(shí)現(xiàn)簡單證書頒發(fā)功能。設(shè)備不支持對(duì)其生成的自簽名證書進(jìn)行生命周期管理（如證書更新、證書撤銷等）。設(shè)備本地證書：設(shè)備根據(jù)CA證書給自己頒發(fā)的證書，證書中的頒發(fā)者名稱是CA服務(wù)器的名稱。申請(qǐng)者無法向CA申請(qǐng)本地證書時(shí)，可以通過設(shè)備生成設(shè)備本地證書，可以實(shí)現(xiàn)簡單證書頒發(fā)功能。數(shù)字證書證書有四種類型CA證書：CA自身的證書。如果PKI系統(tǒng)中沒有多層級(jí)CA，CA證書就是自簽名證書；如果有多層級(jí)CA，則會(huì)形成一個(gè)CA層次結(jié)構(gòu)，最上層的CA是根CA，它擁有一個(gè)CA“自簽名”的證書。申請(qǐng)者通過驗(yàn)證CA的數(shù)字簽名從而信任CA，任何申請(qǐng)者都可以得到CA的證書（含公鑰），用以驗(yàn)證它所頒發(fā)的本地證書。本地證書：CA頒發(fā)給申請(qǐng)者的證書。證書結(jié)構(gòu)最簡單的證書包含一個(gè)公鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。證書結(jié)構(gòu)一般情況下證書中還包括密鑰的有效期，頒發(fā)者（證書授權(quán)中心）的名稱，該證書的序列號(hào)等信息，證書的結(jié)構(gòu)遵循X.509v3版本的規(guī)范。證書內(nèi)容中各字段含義版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。序列號(hào)：頒發(fā)者分配給證書的一個(gè)正整數(shù)，同一頒發(fā)者頒發(fā)的證書序列號(hào)各不相同，可用與頒發(fā)者名稱一起作為證書唯一標(biāo)識(shí)。簽名算法：頒發(fā)者頒發(fā)證書使用的簽名算法。證書結(jié)構(gòu)頒發(fā)者：頒發(fā)該證書的設(shè)備名稱，必須與頒發(fā)者證書中的主體名一致。通常為CA服務(wù)器的名稱。有效期：包含有效的起、止日期，不在有效期范圍的證書為無效證書。主體名：證書擁有者的名稱，如果與頒發(fā)者相同則說明該證書是一個(gè)自簽名證書。公鑰信息：用戶對(duì)外公開的公鑰以及公鑰算法信息。擴(kuò)展信息：通常包含了證書的用法、CRL的發(fā)布地址等可選字段。簽名：頒發(fā)者用私鑰對(duì)證書信息的簽名。證書格式設(shè)備支持三種文件格式保存證書。格式描述PKCS#12以二進(jìn)制格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.P12和.PFX。DER以二進(jìn)制格式保存證書，不包含私鑰。常用的后綴有：.DER、.CER和.CRT。PEM以ASCII碼格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.PEM、.CER和.CRT。加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制PKI必要性PKI基本概念公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure），是一種遵循既定標(biāo)準(zhǔn)的證書管理平臺(tái)，它利用公鑰技術(shù)能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供安全服務(wù)。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI體系架構(gòu)一個(gè)PKI體系由終端實(shí)體、證書認(rèn)證機(jī)構(gòu)、證書注冊(cè)機(jī)構(gòu)和證書/CRL存儲(chǔ)庫四部分共同組成。PKI體系架構(gòu)終端實(shí)體EE（EndEntity）：也稱為PKI實(shí)體，它是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個(gè)人、組織、設(shè)備（如路由器、防火墻）或計(jì)算機(jī)中運(yùn)行的進(jìn)程。證書認(rèn)證機(jī)構(gòu)CA（CertificateAuthority）：CA是PKI的信任基礎(chǔ)，是一個(gè)用于頒發(fā)并管理數(shù)字證書的可信實(shí)體。它是一種權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)，通常由服務(wù)器充當(dāng)，例如WindowsServer2008。PKI體系架構(gòu)CA通常采用多層次的分級(jí)結(jié)構(gòu)，根據(jù)證書頒發(fā)機(jī)構(gòu)的層次，可以劃分為根CA和從屬CA。根CA是公鑰體系中第一個(gè)證書頒發(fā)機(jī)構(gòu)，它是信任的起源。根CA可以為其它CA頒發(fā)證書，也可以為其它計(jì)算機(jī)、用戶、服務(wù)頒發(fā)證書。對(duì)大多數(shù)基于證書的應(yīng)用程序來說，使用證書的認(rèn)證都可以通過證書鏈追溯到根CA。根CA通常持有一個(gè)自簽名證書。從屬CA必須從上級(jí)CA處獲取證書。上級(jí)CA可以是根CA或者是一個(gè)已由根CA授權(quán)可頒發(fā)從屬CA證書的從屬CA。上級(jí)CA負(fù)責(zé)簽發(fā)和管理下級(jí)CA的證書，最下一級(jí)的CA直接面向用戶。例如，CA2和CA3是從屬CA，持有CA1發(fā)行的CA證書；CA4、CA5和CA6是從屬CA，持有CA2發(fā)行的CA證書。PKI體系架構(gòu)當(dāng)某個(gè)PKI實(shí)體信任一個(gè)CA，則可以通過證書鏈來傳遞信任，證書鏈就是從用戶的證書到根證書所經(jīng)過的一系列證書的集合。當(dāng)通信的PKI實(shí)體收到待驗(yàn)證的證書時(shí)，會(huì)沿著證書鏈依次驗(yàn)證其頒發(fā)者的合法性。CA的核心功能就是發(fā)放和管理數(shù)字證書，包括：證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、證書廢除列表CRL（CertificateRevocationList）的發(fā)布等。PKI體系架構(gòu)證書注冊(cè)機(jī)構(gòu)RA（RegistrationAuthority）：是數(shù)字證書注冊(cè)審批機(jī)構(gòu)，RA是CA面對(duì)用戶的窗口，是CA的證書發(fā)放、管理功能的延伸，它負(fù)責(zé)接受用戶的證書注冊(cè)和撤銷申請(qǐng)，對(duì)用戶的身份信息進(jìn)行審查，并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請(qǐng)。RA作為CA功能的一部分，實(shí)際應(yīng)用中，通常RA并不一定獨(dú)立存在，而是和CA合并在一起。RA也可以獨(dú)立出來，分擔(dān)CA的一部分功能，減輕CA的壓力，增強(qiáng)CA系統(tǒng)的安全性。PKI體系架構(gòu)證書/CRL存儲(chǔ)庫：由于用戶名稱的改變、私鑰泄漏或業(yè)務(wù)中止等原因，需要存在一種方法將現(xiàn)行的證書吊銷，即撤消公鑰及相關(guān)的PKI實(shí)體身份信息的綁定關(guān)系。在PKI中，所使用的這種方法為證書廢除列表CR。任何一個(gè)證書被撤消以后，CA就要發(fā)布CRL來聲明該證書是無效的，并列出所有被廢除的證書的序列號(hào)。因此，CRL提供了一種檢驗(yàn)證書有效性的方式。證書/CRL存儲(chǔ)庫用于對(duì)證書和CRL等信息進(jìn)行存儲(chǔ)和管理，并提供查詢功能。PKI體系架構(gòu)構(gòu)建證書/CRL存儲(chǔ)庫可以采用LDAP（LightweightDirectoryAccessProtocol）服務(wù)器、FTP（FileTransferProtocol）服務(wù)器、HTTP（HypertextTransferProtocol）服務(wù)器或者數(shù)據(jù)庫等等。其中，LDAP規(guī)范簡化了笨重的X.500目錄訪問協(xié)議，支持TCP/IP，已經(jīng)在PKI體系中被廣泛應(yīng)用于證書信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關(guān)的各個(gè)方面。如果證書規(guī)模不是太大，也可以選擇架設(shè)HTTP、FTP等服務(wù)器來儲(chǔ)存證書，并為用戶提供下載服務(wù)。PKI生命周期PKI的核心技術(shù)就圍繞著本地證書的申請(qǐng)、頒發(fā)、存儲(chǔ)、下載、安裝、驗(yàn)證、更新和撤銷的整個(gè)生命周期進(jìn)行展開。PKI生命周期證書申請(qǐng)：證書申請(qǐng)即證書注冊(cè)，就是一個(gè)PKI實(shí)體向CA自我介紹并獲取證書的過程。證書頒發(fā)：PKI實(shí)體向CA申請(qǐng)本地證書時(shí)，如果有RA，則先由RA審核PKI實(shí)體的身份信息，審核通過后，RA將申請(qǐng)信息發(fā)送給CA。CA再根據(jù)PKI實(shí)體的公鑰和身份信息生成本地證書，并將本地證書信息發(fā)送給RA。如果沒有RA，則直接由CA審核PKI實(shí)體身份信息。證書存儲(chǔ)：CA生成本地證書后，CA/RA會(huì)將本地證書發(fā)布到證書/CRL存儲(chǔ)庫中，為用戶提供下載服務(wù)和目錄瀏覽服務(wù)PKI生命周期證書下載：PKI實(shí)體通過SCEP或CMPv2協(xié)議向CA服務(wù)器下載已頒發(fā)的證書，或者通過LDAP、HTTP或者帶外方式，下載已頒發(fā)的證書。該證書可以是自己的本地證書，也可以是CA/RA證書或者其他PKI實(shí)體的本地證書。證書安裝：PKI實(shí)體下載證書后，還需安裝證書，即將證書導(dǎo)入到設(shè)備的內(nèi)存中，否則證書不生效。該證書可以是自己的本地證書，也可以是CA/RA證書，或其他PKI實(shí)體的本地證書。通過SCEP協(xié)議申請(qǐng)證書時(shí)，PKI實(shí)體先獲取CA證書并將CA證書自動(dòng)導(dǎo)入設(shè)備內(nèi)存中，然后獲取本地證書并將本地證書自動(dòng)導(dǎo)入設(shè)備內(nèi)存中。PKI生命周期證書驗(yàn)證：PKI實(shí)體獲取對(duì)端實(shí)體的證書后，當(dāng)需要使用對(duì)端實(shí)體的證書時(shí)，例如與對(duì)端建立安全隧道或安全連接，通常需要驗(yàn)證對(duì)端實(shí)體的本地證書和CA的合法性（證書是否有效或者是否屬于同一個(gè)CA頒發(fā)等）。如果證書頒發(fā)者的證書無效，則由該CA頒發(fā)的所有證書都不再有效。但在CA證書過期前，設(shè)備會(huì)自動(dòng)更新CA證書，異常情況下才會(huì)出現(xiàn)CA證書過期現(xiàn)象。PKI生命周期PKI實(shí)體可以使用CRL或者OCSP（OnlineCertificateStatusProtocol）方式檢查證書是否有效。使用CRL方式時(shí)，PKI實(shí)體先查找本地內(nèi)存的CRL，如果本地內(nèi)存沒有CRL，則需下載CRL并安裝到本地內(nèi)存中，如果證書在CRL中，表示此證書已被撤銷。使用OCSP方式時(shí)，PKI實(shí)體向OCSP服務(wù)器發(fā)送一個(gè)對(duì)于證書狀態(tài)信息的請(qǐng)求，OCSP服務(wù)器會(huì)回復(fù)一個(gè)“有效”（證書沒有被撤消）、“過期”（證書已被撤消）或“未知”（OCSP服務(wù)器不能判斷請(qǐng)求的證書狀態(tài)）的響應(yīng)。PKI生命周期證書更新：當(dāng)證書過期、密鑰泄漏時(shí)，PKI實(shí)體必須更換證書，可以通過重新申請(qǐng)來達(dá)到更新的目的，也可以使用SCEP或CMPv2協(xié)議自動(dòng)進(jìn)行更新。證書撤銷：由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業(yè)務(wù)中止等原因，用戶需要將自己的數(shù)字證書撤消，即撤消公鑰與用戶身份信息的綁定關(guān)系。在PKI中，CA主要采用CRL或OCSP協(xié)議撤銷證書，而PKI實(shí)體撤銷自己的證書是通過帶外方式申請(qǐng)。證書申請(qǐng)通常情況下PKI實(shí)體會(huì)生成一對(duì)公私鑰，公鑰和自己的身份信息（包含在證書注冊(cè)請(qǐng)求消息中）被發(fā)送給CA用來生成本地證書，私鑰PKI實(shí)體自己保存用來數(shù)字簽名和解密對(duì)端實(shí)體發(fā)送過來的密文。PKI實(shí)體向CA申請(qǐng)本地證書有以下兩種方式在線申請(qǐng)離線申請(qǐng)（PKCS#10方式）證書申請(qǐng)?jiān)诰€申請(qǐng)：PKI實(shí)體支持通過SCEP（SimpleCertificateEnrollmentProtocol）或CMPv2（CertificateManagementProtocolversion2）協(xié)議向CA發(fā)送證書注冊(cè)請(qǐng)求消息來申請(qǐng)本地證書。離線申請(qǐng)：是指PKI實(shí)體使用PKCS#10格式打印出本地的證書注冊(cè)請(qǐng)求消息并保存到文件中，然后通過帶外方式（如Web、磁盤、電子郵件等）將文件發(fā)送給CA進(jìn)行證書申請(qǐng)。加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制PKI工作過程針對(duì)一個(gè)使用PKI的網(wǎng)絡(luò)，配置PKI的目的就是為指定的PKI實(shí)體向CA申請(qǐng)一個(gè)本地證書，并由設(shè)備對(duì)證書的有效性進(jìn)行驗(yàn)證。PKI工作過程PKI實(shí)體向CA請(qǐng)求CA證書，即CA服務(wù)器證書。CA收到PKI實(shí)體的CA證書請(qǐng)求時(shí)，將自己的CA證書回復(fù)給PKI實(shí)體。PKI實(shí)體收到CA證書后，安裝CA證書。當(dāng)PKI實(shí)體通過SCEP協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體會(huì)用配置的HASH算法對(duì)CA證書進(jìn)行運(yùn)算得到數(shù)字指紋，與提前配置的CA服務(wù)器的數(shù)字指紋進(jìn)行比較，如果一致，則PKI實(shí)體接受CA證書，否則PKI實(shí)體丟棄CA證書。PKI工作過程PKI實(shí)體向CA發(fā)送證書注冊(cè)請(qǐng)求消息（包括配置的密鑰對(duì)中的公鑰和PKI實(shí)體信息）。當(dāng)PKI實(shí)體通過SCEP協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體對(duì)證書注冊(cè)請(qǐng)求消息使用CA證書的公鑰進(jìn)行加密和自己的私鑰進(jìn)行數(shù)字簽名。如果CA要求驗(yàn)證挑戰(zhàn)密碼，則證書注冊(cè)請(qǐng)求消息必須攜帶挑戰(zhàn)密碼（與CA的挑戰(zhàn)密碼一致）。當(dāng)PKI實(shí)體通過CMPv2協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體可以使用額外證書（其他CA頒發(fā)的本地證書）或者消息認(rèn)證碼方式進(jìn)行身份認(rèn)證。額外證書方式：PKI實(shí)體對(duì)證書注冊(cè)請(qǐng)求消息使用CA證書的公鑰進(jìn)行加密和PKI實(shí)體的額外證書相對(duì)應(yīng)的私鑰進(jìn)行數(shù)字簽名。PKI工作過程消息認(rèn)證碼方式：PKI實(shí)體對(duì)證書注冊(cè)請(qǐng)求消息使用CA證書的公鑰進(jìn)行加密，而且證書注冊(cè)請(qǐng)求消息必須包含消息認(rèn)證碼的參考值和秘密值（與CA的消息認(rèn)證碼的參考值和秘密值一致）。CA收到PKI實(shí)體的證書注冊(cè)請(qǐng)求消息。當(dāng)PKI實(shí)體通過SCEP協(xié)議申請(qǐng)本地證書時(shí)，CA使用自己的私鑰和PKI實(shí)體的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致時(shí)，CA才會(huì)審核PKI實(shí)體身份等信息，審核通過后，同意PKI實(shí)體的申請(qǐng)，頒發(fā)本地證書。然后CA使用PKI實(shí)體的公鑰進(jìn)行加密和自己的私鑰進(jìn)行數(shù)字簽名，將證書發(fā)送給PKI實(shí)體，也會(huì)發(fā)送到證書/CRL存儲(chǔ)庫。PKI工作過程當(dāng)PKI實(shí)體通過CMPv2協(xié)議申請(qǐng)本地證書時(shí)：額外證書方式：CA使用自己的私鑰解密和PKI實(shí)體的額外證書中的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致時(shí)，CA才會(huì)審核PKI實(shí)體身份等信息，審核通過后，同意PKI實(shí)體的申請(qǐng)，頒發(fā)本地證書。然后CA使用PKI實(shí)體的額外證書中的公鑰進(jìn)行加密和自己的私鑰進(jìn)行數(shù)字簽名，將證書發(fā)送給PKI實(shí)體，也會(huì)發(fā)送到證書/CRL存儲(chǔ)庫。消息認(rèn)證碼方式：CA使用自己的私鑰解密后，并驗(yàn)證消息認(rèn)證碼的參考值和秘密值。參考值和秘密值一致時(shí)，CA才會(huì)審核PKI實(shí)體身份等信息，審核通過后，同意PKI實(shí)體的申請(qǐng)，頒發(fā)本地證書。然后CA使用PKI實(shí)體的公鑰進(jìn)行加密，將證書發(fā)送給PKI實(shí)體，也會(huì)發(fā)送到證書/CRL存儲(chǔ)庫。PKI工作過程PKI實(shí)體收到CA發(fā)送的證書信息。當(dāng)PKI實(shí)體通過SCEP協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體使用自己的私鑰解密，并使用CA的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致