前言:了解PKI/CA架構相關概念與證書服務
目錄
一.什麼是PKI/CA
1.PKI/CA
2.PKI (Public key infrastructure) 公鑰基礎設施
二.PKI 體系實作的主要功能
三.公鑰加密技術
四.PKI 協定
五.證書的頒發機構
1.證書頒發機構
2.CA 的主要功能
3,證書的頒發過程:
4.證書安裝的實驗
一.什麼是PKI/CA
1.PKI/CA
從總體構架來看, PKI/CA 主要由最終使用者、認證中心和注冊機構來組成。
2.PKI (Public key infrastructure) 公鑰基礎設施
通過使用公鑰技術和數字簽名來確定資訊安全,并負責驗證數字證書持有者身份的一種技術
PKI 由 公鑰加密技術 , 數字證書, 認證機構, CA和注冊機構RA 組成.
①數字證書 :用于使用者的身份驗證
②CA :是PKI 的核心,負責管理PKI 中所有的使用者
③RA : 接受使用者的請求,負責将使用者的有關申請資訊 和存檔備案
二.PKI 體系實作的主要功能
1 身份驗證 确認使用者的身份辨別
2 資料完整性 確定資料在傳輸過程中沒有被修改
3 資料機密性 防止非授權使用者擷取資料
4 操作的不可否性 確定使用者不能冒充其他使用者的身份
三.公鑰加密技術
公鑰加密,也叫非對稱(密鑰)加密(public key encryption),屬于通信科技下的網絡安全二級學科,指的是由對應的一對唯一性密鑰(即 公開密鑰 和私有密鑰)組成的加密方法。 它解決了密鑰的釋出和管理問題,是商業密碼的核心。
1公鑰和私鑰是成對生成的, 兩個密鑰互不相同, 可互相加密解密
2不能工具一個密鑰來推算出另一個密鑰
3公鑰對外公開 私鑰隻有私鑰的持有人知道
4私鑰應該由密鑰的持有人妥善保管
數字加密, 公鑰加密 私鑰解密, 實作資料的機密性
數字簽名, 私鑰加密 公鑰解密, 保證資料的完整性和操作的不可否認性及身份驗證
X.509 ITU-T 制定的數字證書标準, 為給公用網絡使用者提供目錄資訊服務
是安全認證系統的核心規定了實體鑒别過程中廣泛使用的證書和資料接口
是基于公開密鑰體制建立, 博阿寒使用者名和使用者公鑰 和其他相關資訊
數字簽名
四.PKI 協定
PKI 是 Public Key Infrastructure 的縮寫,其主要功能是綁定證書持有者的身份和相關的密鑰對(通過為公鑰及相關的使用者身份資訊簽發數字證書),為使用者提供友善的證書申請、證書廢棄、證書擷取、證書狀态查詢的途徑,并利用數字證書及相關的各種服務(證書釋出,黑名單釋出,時間戳服務等)實作通信中各實體的 身份認證 、完整性、抗抵賴性和保密性。
1. SSL 網景公司開發,保障再internet 上資料的安全傳輸 位于TCP/IP 協定和應用層協定之間
2. 包括 SSL 記錄協定 建立再可靠的傳輸協定 tcp 之上 為高層協定提供資料封裝 壓縮 加密等功能支援
3. SSL 握手協定 建立再 SSL 協定之上,用來對通信雙方進行身份認證協商 加密算法 、交換加密 密鑰 等。
4. ssl 的主要服務: 認證使用者和伺服器 機密資料 維護資料完整性
HTTPS 網景公司開發,用于對網頁資料的加密和解密
IPSec 開放的vpn 安全協定,最流行的vpn 解決方案 包括 AH 驗證頭和 ESP 安全負載封裝
五.證書的頒發機構
1.證書頒發機構
PKI 的應用權威機構 第三方權威機構 負責産生和配置設定管理數字證書
數字證書是一種權威的電子文檔, 包含的資訊有 使用者的公鑰 使用者的辨別資訊 有效期 頒發者的辨別資訊 和頒發者的數字簽名
2.CA 的主要功能
處理證書申請 證書的頒發 更新 接受使用者查詢 證書的歸檔 密鑰的歸檔等
3,證書的頒發過程:
證書的申請
RA 确認使用者身份
證書政策處理
RA送出使用者申請到CA
CA 用自己的私鑰和使用者的公鑰簽名
CA 準許證書傳給 RA
RA 将電子證書傳送給使用者
使用者驗證CA 頒發的證書
證書的申請、釋出、使用
4.證書安裝的實驗
需要域環境 在域環境中添加 CA憑證伺服器 選擇 證書頒發機構和 證書頒發機構web注冊
完畢後預設選擇企業CA 根CA 完成配置
web 伺服器端 選擇證書伺服器 建立證書申請, 然後通過浏覽器 通路http://ip/certsrv 通路申請證書,頒發下載下傳證書後,完成證書申請, 在網站中綁定 所需證書
配置 SSL 安全通道
選擇要求 ssl 則隻能使用https 通路網站
用戶端證書, 選擇 必須,則需要用戶端申請證書才能通路