您所在位置:主题:PKI与证书服务的应用
422046480
[专家分:0] 发布于 2011-12-10 16:18:00
今天刚刚在[url=http://www.beidaqingniao.org]北大青鸟[/url]学会PKI与证书服务的应用 现在跟大家分享一下
5.1 公钥基础结构(PKI)
5.1.1什么是PKI
PKI是通过使用公钥技术和数字证书来确保信息安全,并负责验证数字证书持有者身份的一种技术。
PKI由公钥加密技术、数字证书、CA(证书颁发机构)、RA(注册机构)等共同组成。
 CA是一可信任的实体,它负责发布、更新和吊销证书。
 RA接受用户的请求,它负责用户的有关申请信息的存档备案,并存储在数据库中,等待审核,并将审核通过的证书请求发送给证书颁发机构。RA分担了CA 的部分任务,使管理变的更方便。
5.1.2公钥加密技术
这种技术需要两种密钥:公钥和私钥
1、数据加密
数据加密能保证数据所发送数据的机密性,却不能保证数据的完整性、身份验证和不可抵赖性,不能检查数据在传输过程中是否完整,并验证发送方的身份。(只能保证数据的加密性)
2、数字签名
数字签名的原理:发送方用 HASH算法产生一个128位的摘要,再用自己的私钥对摘要加密,发送给对方,对方再用同样的方法产生一个摘要,两个摘要进行比较,根据一致性来检查文件的真实性。
5.1.3 X.509
X.509是又国际电信联盟(ITU-T)制定的数字证书标准。是基于公钥体制建立的,并且X.509证书和许多其他证书都有有效期限。
5.1.4使用PKI的协议
1、SSL 安全套接字层
分为两层
(1)SSL记录协议:建立传输层之上,数据封装、压缩、加密,等功能支持。
(2)SSL握手协议:通讯双方身份认证、协商加密算法、交换加密密钥等。
2、HTTPS安全超文本传输协议
3、IPSec
IPSec协议是一个应用广泛、开放的VPN安全协议,目前已经成为流行的VPN解决方案。
5.2 证书颁发机构
5.2.1什么是证书
为保证网络上信息传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制。
5.2.2CA的作用
 处理证书申请。
 鉴定申请者是否有资格接收证书。
 证书的发放,向申请者颁发或拒绝颁发数字证书。
 证书的更新,接收、处理最终用户的数字证书更新请求。
 接收最终用户数字证书的查询、撤消。
 产生和发布证书吊销列表。
 数字证书的归档。
 密钥归档。
 历史数据归档。
5.2.3安装证书服务
企业CA和独立CA
 企业CA需要AD服务,在活动目录中才可以使用,而独立CA不需要活动目录。
 域中的计算机和用户自动的添加到受信任的根证书颁发机构的证书存储区中。
 必须是域管理员,或是对AD具有写权限的管理员,才能安装企业根CA。
企业CA有证书模版而独立CA没有。
企业CA自动颁发证书而独立CA手动颁发。
企业和独立CA又分别可以分为根CA和从属CA 。
 根CA是组织的PKI中最受信任的CA
 从属CA是由组织中的另一CA颁发证书的CA。
5.3证书服务应用
5.3.1证书的申请与颁发
1、生成证书申请
在生成证书申请的时候“通用名称”应该是站点的域名或IP地址。
2、提交证书申请
3、颁发证书
如果是独立CA,则还需要人工操作颁发证书,颁发的证书都是“挂起的申请”,这也是增强证书颁发的安全性。
5.3.2证书的安装与使用
1、在Web服务起上安装证书(略)
2、配置安全通道(SSL)
在“设置SSL”,页面还可以设置是否需要客户端证书。
忽略:无论用户是否拥有证书,都将授予访问权限。
接受:用户可以使用客户端证书访问资源,但证书不是必要的。(证书是可有可无的)
必须:服务器在将用户和资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书,例如“用户”证书。
3、使用HTTPS协议访问网站(略)
5.3.3证书的导入导出
如果安装了证书的网站需要重新创建(原因系统崩溃了),那麽新见的网站只需在网络正常是将安装的证书导出成一个文件,导入到新创建的网站中就可以了。
1、导出证书
2、导入证书
在使用以前的导出的证书,重新创建的web服务器是要保证域名和IP地址要与证书的要一致
5.1 公钥基础结构(PKI)
5.1.1什么是PKI
PKI是通过使用公钥技术和数字证书来确保信息安全,并负责验证数字证书持有者身份的一种技术。
PKI由公钥加密技术、数字证书、CA(证书颁发机构)、RA(注册机构)等共同组成。
 CA是一可信任的实体,它负责发布、更新和吊销证书。
 RA接受用户的请求,它负责用户的有关申请信息的存档备案,并存储在数据库中,等待审核,并将审核通过的证书请求发送给证书颁发机构。RA分担了CA 的部分任务,使管理变的更方便。
5.1.2公钥加密技术
这种技术需要两种密钥:公钥和私钥
1、数据加密
数据加密能保证数据所发送数据的机密性,却不能保证数据的完整性、身份验证和不可抵赖性,不能检查数据在传输过程中是否完整,并验证发送方的身份。(只能保证数据的加密性)
2、数字签名
数字签名的原理:发送方用 HASH算法产生一个128位的摘要,再用自己的私钥对摘要加密,发送给对方,对方再用同样的方法产生一个摘要,两个摘要进行比较,根据一致性来检查文件的真实性。
5.1.3 X.509
X.509是又国际电信联盟(ITU-T)制定的数字证书标准。是基于公钥体制建立的,并且X.509证书和许多其他证书都有有效期限。
5.1.4使用PKI的协议
1、SSL 安全套接字层
分为两层
(1)SSL记录协议:建立传输层之上,数据封装、压缩、加密,等功能支持。
(2)SSL握手协议:通讯双方身份认证、协商加密算法、交换加密密钥等。
2、HTTPS安全超文本传输协议
3、IPSec
IPSec协议是一个应用广泛、开放的VPN安全协议,目前已经成为流行的VPN解决方案。
5.2 证书颁发机构
5.2.1什么是证书
为保证网络上信息传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制。
5.2.2CA的作用
 处理证书申请。
 鉴定申请者是否有资格接收证书。
 证书的发放,向申请者颁发或拒绝颁发数字证书。
 证书的更新,接收、处理最终用户的数字证书更新请求。
 接收最终用户数字证书的查询、撤消。
 产生和发布证书吊销列表。
 数字证书的归档。
 密钥归档。
 历史数据归档。
5.2.3安装证书服务
企业CA和独立CA
 企业CA需要AD服务,在活动目录中才可以使用,而独立CA不需要活动目录。
 域中的计算机和用户自动的添加到受信任的根证书颁发机构的证书存储区中。
 必须是域管理员,或是对AD具有写权限的管理员,才能安装企业根CA。
企业CA有证书模版而独立CA没有。
企业CA自动颁发证书而独立CA手动颁发。
企业和独立CA又分别可以分为根CA和从属CA 。
 根CA是组织的PKI中最受信任的CA
 从属CA是由组织中的另一CA颁发证书的CA。
5.3证书服务应用
5.3.1证书的申请与颁发
1、生成证书申请
在生成证书申请的时候“通用名称”应该是站点的域名或IP地址。
2、提交证书申请
3、颁发证书
如果是独立CA,则还需要人工操作颁发证书,颁发的证书都是“挂起的申请”,这也是增强证书颁发的安全性。
5.3.2证书的安装与使用
1、在Web服务起上安装证书(略)
2、配置安全通道(SSL)
在“设置SSL”,页面还可以设置是否需要客户端证书。
忽略:无论用户是否拥有证书,都将授予访问权限。
接受:用户可以使用客户端证书访问资源,但证书不是必要的。(证书是可有可无的)
必须:服务器在将用户和资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书,例如“用户”证书。
3、使用HTTPS协议访问网站(略)
5.3.3证书的导入导出
如果安装了证书的网站需要重新创建(原因系统崩溃了),那麽新见的网站只需在网络正常是将安装的证书导出成一个文件,导入到新创建的网站中就可以了。
1、导出证书
2、导入证书
在使用以前的导出的证书,重新创建的web服务器是要保证域名和IP地址要与证书的要一致