高效安全地管理公钥基础设施：Spomky-Labs/Pki-Framework 使用指南

Spomky-Labs/Pki-Framework 是一个用于管理公钥基础设施（PKI）的开源框架，旨在简化证书的生成、管理和验证过程。以下是如何高效、安全地使用该框架的指南。

1. 环境准备

首先，确保你的开发环境满足以下要求： - PHP 7.4 或更高版本 - Composer（PHP 依赖管理工具）

2. 安装框架

使用 Composer 安装 Spomky-Labs/Pki-Framework：

composer require spomky-labs/pki-framework

3. 生成密钥对

生成 RSA 或 ECDSA 密钥对：

use SpomkyLabs\Pki\CryptoTypes\Asymmetric\PrivateKey;
use SpomkyLabs\Pki\CryptoTypes\Asymmetric\PublicKey;

$privateKey = PrivateKey::generateRSA(2048);
$publicKey = $privateKey->publicKey();

4. 创建自签名证书

生成自签名证书：

use SpomkyLabs\Pki\X509\Certificate\TBSCertificate;
use SpomkyLabs\Pki\X509\Certificate\Validity;
use SpomkyLabs\Pki\X509\Certificate\Certificate;

$validity = Validity::fromStrings('now', '+365 days');
$tbsCert = TBSCertificate::create('CN=example.com', $publicKey, $validity);
$certificate = Certificate::create($tbsCert, $privateKey);

5. 证书签名请求（CSR）

生成 CSR：

use SpomkyLabs\Pki\X509\CertificationRequest\CertificationRequestInfo;
use SpomkyLabs\Pki\X509\CertificationRequest\CertificationRequest;

$csrInfo = CertificationRequestInfo::create('CN=example.com', $publicKey);
$csr = CertificationRequest::create($csrInfo, $privateKey);

6. 证书验证

验证证书的有效性：

use SpomkyLabs\Pki\X509\Certificate\Certificate;
use SpomkyLabs\Pki\CryptoTypes\Asymmetric\PublicKey;

$certificate = Certificate::fromPEM($pemData);
$publicKey = PublicKey::fromPEM($publicKeyPem);

if ($certificate->verify($publicKey)) {
    echo "证书有效";
} else {
    echo "证书无效";
}

7. 安全最佳实践

• 密钥管理：使用硬件安全模块（HSM）存储私钥。
• 证书轮换：定期更新证书，避免使用过期证书。
• 访问控制：严格控制对 PKI 系统的访问权限。
• 日志记录：记录所有证书操作，便于审计和故障排查。

8. 常见问题排查

• 证书生成失败：检查密钥对生成是否正确，确保使用支持的算法和密钥长度。
• 证书验证失败：确认证书和公钥匹配，检查证书的有效期和签名算法。

9. 参考资料

• Spomky-Labs/Pki-Framework GitHub 仓库
• PHP 官方文档
• Composer 官方文档

通过以上步骤，你可以高效、安全地管理公钥基础设施，确保系统的安全性和可靠性。