PKI知多少：关于PKI的15项用途及应用实例

公钥基础设施 (PKI)无处不在，从网站和电子邮件到用于保护家庭和企业安全的智能设备，PKI保护着一切安全，在物联网、车联网、网络安全等重点领域应用广泛。我们在前面的《PKI是什么意思？PKI主要组成包括什么？》内容中详细介绍过什么是PKI，今天我们接着探讨关于PKI的15项用途及应用实例。

PKI 应用：确保公共网站、网络应用程序和服务的安全

提到 PKI 用例，人们通常会想到网站安全证书（即SSL证书）。这些数字证书对网站连接进行加密，并验证网站控制机构的数字身份。在会话开始的SSL/TLS 握手过程中，网站服务器会向连接的客户端提供证书。

1、网站的安全加密连接

在网站上安装有效的 SSL证书，可以为原本不安全的超文本传输协议（HTTP）连接添加传输层安全性（即之前的安全套接层），实现HTTPS加密。从而有效避免攻击者在传输过程中截获你的明文数据，避免用户名、密码和其他敏感数据泄露。

2、网站数字身份验证（认证）

根据SSL证书的验证类型，SSL证书分为DV SSL证书、OV SSL证书以及EV SSL证书，其中OV SSL证书以及EV SSL证书需要提供企业组织的经核实的组织详情才能颁发。网站部署此类证书，用户的网络客户端就能知道你的网站是合法的，是由你的组织真正运营的。

PKI 应用：无需密码即可验证用户和设备身份

IBM 2024年X-Force 威胁情报指数报告的数据显示，攻击者渗透组织网络和系统的方式发生了重大变化。他们不再从后窗潜入（黑客攻击），而是从前门进入（即使用泄露的凭据登录）。这意味着密码容易受到网络钓鱼和社会工程学策略的攻击，而现在可以不使用密码，而选择基于公钥基础设施PKI的身份验证，从而避免因密码保密管理不善和安全配置错误导致的泄露或被盗风险。

3、用户身份验证

用户身份验证（也称客户端身份验证）的范围很广，从基于证书的 Active Directory 用户配置文件身份验证、向员工发放的实体身份徽章，到用于对电子邮件进行数字签名和加密的 S/MIME证书，无所不包。基本上，这些都是身份和访问管理的关键要素。

你可以在一台机器上安装多个用户证书，但每个用户只能对其授权访问的系统进行身份验证。这有助于验证只有经过授权和验证的用户才能访问内部应用程序、内联网网站和其他资源。

4、无线网络认证

基于 PKI 的 Wi-Fi 访问允许授权用户证明自己的数字身份，而无需输入密码，否则密码很容易受到中间人（MitM）和邪恶孪生攻击。这样，他们就可以访问你的 Wi-Fi 网络，同时将证书私钥安全地保存在设备的可信平台模块（TPM）上。

5、VPN身份验证

同样，基于 PKI 的 VPN 身份验证允许授权用户连接到您的虚拟专用网络，而不会在尝试伪造安全加密连接时暴露自己的凭据。

6、设备身份验证

基于PKI证书的设备身份验证有助于确保设备及其所连接系统的安全。它能让你验证设备的合法性，并能轻松访问授权系统。设备证书验证的是设备本身，而不是可能访问设备的特定用户。它是验证和保护以下设备的理想选择：

• 物联网IoT设备（医疗设备、航空传感器等）；
• 移动设备（确保使用公司配发的设备或 BYOD 的远程员工的安全访问）。

PKI 应用：保护和验证电子邮件

电子邮件是当今大多数企业的首选通信方式，但是，电子邮件在带来诸多好处的同时，也存在一些缺点：即可能被欺骗，并有在传输过程中被拦截或篡改的风险。不过，这正是 PKI 可以大显身手的地方。

7、电子邮件数字签名

电子邮件数字签名是一种有趣的工具，它能向电子邮件收件人保证信息的真实性（即发件人就是他们所说的那个人），以及信息在传输过程中没有被篡改。创建电子邮件数字签名只要求签名者拥有电子邮件签名证书（或通常所说的 S/MIME 证书）。

内部和/或外部用户可根据您使用的是公开信任的证书还是私人信任的证书来验证数字签名电子邮件的合法性。

8、安全、端对端电子邮件加密

这是一种在使用 S/MIME证书的双方之间发送安全加密信息的安全机制。使用收件人的公开密钥，发件人可以在邮件离开邮箱之前对邮件内容进行加密。这就提供了端到端的安全性，确保邮件在收件人的收件箱中是安全的。

9、电子邮件服务器验证

SSL证书也可用于确保邮件服务器之间连接的安全和身份验证(注意：这不会对邮件本身加密，只会对连接加密。）。例如，SMTP 连接默认不加密，这意味着它们很容易被坏人截获。因此，我们建议始终使用公钥加密来确保电子邮件传输的安全。

2023年12月Gmail 更新要求在电子邮件服务器上安装SSL证书。这样做可以实现服务器身份验证，确保邮件通过安全连接发送。

10、在电子邮件收件箱中显示经过验证的公司徽标

经过验证的认证标志证书（VMC证书）是一种较新的数字证书，可从一开始就确保品牌名称的识别性。使用这种受公众信任的证书，结合用于信息识别的品牌指示符（BIMI）和基于域的信息验证、报告和一致性（DMARC），就可以在用户收件箱中的电子邮件旁显示商标徽标。有了 VMC 和 BIMI，您可以通过在前面显示公司商标徽标，向收件人保证邮件的真实性。

PKI 应用：证明文件的合法性和未改动性

企业的合同和文件非常重要。没有人希望有人在事后篡改这些文件，尤其是您的高层管理人员。因此，使用文档签名证书签署 Microsoft Office 文档和 Adobe PDF 文件至关重要。

11、敏感 Office 文件和 PDF 保护

文档签名证书满足Adobe、Microsoft的文档签名技术标准，可对Adobe reader、 Adobe Acrobat，以及PDF文档，Word、Excel等格式的Office文档签名。文档签名证书允许个人和企业在电子文件上添加数字签名，在证明文件所有权以及签署人真实身份的同时，保障电子文件传递的安全性和完整性，确保经签署的文件在网络传输过程中不被非法篡改。

12、欧盟合格电子签名（QESes）

公钥基础设施PKI使为重要的个人和专业应用提供符合 eIDAS 要求的合格电子签名成为可能。2014 年 eIDAS 法规（910/2014）为使用基于 PKI 的数字签名奠定了基础，这些签名可在欧盟任何地方创建和验证。

通过 eIDAS 认证的电子签名使用 PKI 创建经过验证的数字身份，并使用哈希算法保护文件的完整性。

PKI 应用：保护软件完整性和软件供应链

13、软件身份和完整性保护

想让您的应用程序和代码尽可能安全？那就使用公众信任的代码签名证书对软件产品进行数字签名。此过程使用私钥和加密功能来创建数字签名，从而与 Windows 操作系统建立长期信任。

这种方法可确保您的软件显示经过验证的数字身份，并创建校验和，在软件被更改时通知用户的设备。通过对软件进行签名，您可以帮助保护客户的软件供应链，让他们有办法验证您的应用程序和更新是真实的，自签名以来未被篡改。

14、软件组件验证

软件物料清单 (SBOM) 是创建软件的组件列表。其中包括所有第三方依赖项和开放源代码。您可以使用基于云的代码签名服务对 SBOM 进行签名。

签署您的 SBOM 可为您的软件应用程序增加一层安全性，并通过提供经过验证的组件列表、证明代码的来源等方式帮助客户更放心地使用您的产品。

15、验证空中更新

作为一家定期发布更新或打补丁的物联网制造商，如果您想确保您发布的所有固件补丁和其他软件更新都是可信的，并且在到达时没有被更改，那么一个好办法就是对您的OTA 软件包进行签名。

这些更新可让您通过云远程部署 OTA 更新，用户无需实际干预，即可快速轻松地安装更新。例如：苹果设备用户在 iPhone 和 iPad 上收到的更新，或者特斯拉车主在电动汽车上收到的更新。

总结

从用于确保网站安全、网络安全和数据安全的安全工具，到控制对敏感 IT 系统访问的身份和访问管理资源，公钥基础设施 (PKI)的应用涉及现代企业的方方面面，企业可以根据自身的网络设备、web应用等实际需求出发，再结合具体应用场景来更好的利用PKI。

参考来源：https://www.thesslstore.com/blog/pki-uses-applications-examples/