PKI

PKI概述

名称：Public Key Infrastructure(公钥基础设施)
作用：通过加密技术和数字签名保证信息的安全
组成：公钥加密技术、数字证书、CA、RA

信息安全三要素

机密性
完整性
身份验证/操作的不可否认性

哪些IT领域用到PKI

  1. SSL/HTTPS
  2. IPsecVPN
  3. 部分远程访问VPN

公钥加密技术

作用：实现对信息加密、数字签名等安全保障
加密算法：

  1. 对称加密算法
  加解密的密钥一致！
  DES  3DES  AES
  2. 非对称加密算法
  * 通信双方各自产生一对公私钥。
  * 双方各自交换公钥
  * 公钥和私钥为互相加解密关系！
  * 公私钥不可互相逆推！
        RSA  DH

完整性校验

  HASH算法：MD5  SHA （验证完整性）
  HASH值可逆么？不可逆！
  HASH值=摘要 

数字签名

  用自己的私钥对摘要加密得出的密文就是数字签名，对方通过自己公钥进行解密验证。

证书

证书用于保证公密的合法性
证书格式遵循X.509标准

数字证书包含信息：

• 使用者的公钥值
• 使用者标识信息（如名称和电子邮件地址）
• 有效期（证书的有效时间）
• 颁发者标识信息
• 颁发者的数字签名

数字证书由权威公正的第三方机构即CA签发

CA是权威证书颁发机构，为了公正“公钥”的合法性！
机密性：使用对方的公钥加密！
身份验证/数字签名：使用自己的私钥！

---

实验名称：部署HTTPS服务器/部署SSL服务器

实验环境：
1）win2008作为https服务器：10.1.1.2/24
2）win7作为客户机：10.1.1.1/24
3）桥接到虚拟网络vmenet1

实验步骤：
1.配置服务器IP地址10.1.1.2/24。

2.安装IIS服务 并建立一个站点。(必须使用域名)并配置DNS服务器，并初步验证访问http://www.flower.com一下。

  注意：
  1. 设置身份验证，在匿名身份要选择有权限访问网页文件的用户。
  2. 默认文档设置

3.安装CA组件，选择证书颁发机构Web注册

4.打开IIS，先生成证书申请文件

5.向CA申请证书：
打开网页http://10.1.1.2/certsrv并向CA发送web服务器申请文件

6.CA颁发证书

7.在web服务器上下载并完成安装

8.在web服务器上启用SSL443

9.要求用户必须使用443访问，不能使用80访问！

注 取消IE信任提示
服务器管理器 -> 安全信息 -> 配置IE ESC -> 禁用