PKI 是 "公钥基础设施"（Public Key Infrastructure）的缩写。

它是一种基于公钥密码学技术构建的安全框架，其核心目的是在开放网络（如互联网）环境中，为通信和交易提供安全服务，特别是解决身份认证和数据加密两大关键问题。

PKI 的核心组件和作用包括：

1. 数字证书：

   • 类似于网络世界的“电子身份证”。
   • 由受信任的证书颁发机构颁发。
   • 将用户的公钥与其身份信息（如个人姓名、公司名称、网站域名等）安全地绑定在一起。
   • 证明公钥持有者的身份是真实的。

2. 证书颁发机构：

   • 是 PKI 体系中的核心信任锚点。
   • 负责审核申请者的身份、签发和管理数字证书。
   • 知名的商业 CA 如 DigiCert, Sectigo (Comodo), GlobalSign 等；也有政府或企业自建的私有 CA。

3. 注册机构：

   • 通常作为 CA 的代理，负责接收用户的证书申请，进行初步审核，然后将申请提交给 CA 签发。

4. 证书存储库：

   • 用于存储和发布已签发的数字证书和证书吊销列表，供用户查询和下载。

5. 证书吊销列表 / 在线证书状态协议：

   • 用于声明那些已签发但不再有效（如私钥泄露、证书信息变更等）的证书。
   • CRL 是列表文件，OCSP 是实时在线查询协议。

PKI 提供的主要安全服务：

• 身份认证： 通过验证数字证书，确认通信对方的真实身份（你是你声称的那个人/网站）。
• 数据加密： 使用接收方的公钥加密数据，确保只有拥有对应私钥的接收方才能解密查看，保护传输和存储数据的机密性。
• 数字签名： 使用发送方的私钥对数据生成签名，接收方用发送方的公钥验证签名。这保证了数据的完整性（数据未被篡改）和不可否认性（发送方无法抵赖发送过该数据）。
• 建立安全通道： 例如 HTTPS、SSL/TLS 协议，就是利用 PKI 来验证服务器身份并协商加密密钥，建立安全的网络连接。

简单来说，PKI 就是一套利用数字证书和公钥加密技术，在网络世界中建立信任、确认身份、保护数据隐私和安全传输的完整系统和规则。

常见的应用场景：

• 访问 HTTPS 网站（浏览器验证服务器证书）
• 企业 VPN 接入（双向验证身份）
• 安全电子邮件 (S/MIME)
• 软件代码签名（验证软件来源和完整性）
• 电子签名/电子合同
• 智能卡登录系统
• 物联网设备安全认证

总结：PKI = 公钥基础设施 = 一套基于数字证书和加密技术来保证网络安全（身份认证、加密、签名）的信任体系。