PKI

PKI

1、PKI概述

名称:Public Key Infrastruction 公钥基础设施

作用:通过加密技术和数字签名保证信息的安全

组成:公钥机密技术、数字证书、CA、RA

2、信息安全三要素

机密性

完整性

身份验证/操作的不可否认性

3、哪些IT领域用到PKI:

1)SSL/HTTPS

2)IPsecVPN

3)部分远程访问VPN

4、公钥加密技术

作用:实现对信息加密、数字签名等安全保障

加密算法:

1)对称加密算法

加解密道的密钥一致

DES 3DES AES

2)非对称加密算法

*通信双方各自产生一对公私钥

*双方各自交换公钥

*公钥和私钥互为加解密关系!

*公私钥不可互相逆推!

RSA DH

3)HASH算法:MD5 SHA(不可逆,验证完整性)

HASH值 = 摘要

5、数字签名:

用自己的私钥对摘要加密得出的密文就是数字签名

6、证书:

证书用于保证公密钥的合法性

证书格式遵循X.509标准

数字证书保护信息:

使用者的公钥值

使用者标识信息(如名称和电子邮件地址)

有效期(证书的有效时间)

颁发者标识信息

颁发者的数字签名

数字证书由权威公正的 第三方机构即CA签发

过程

a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证;

b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等;

c.如信息审核通过,CA 会向申请者签发认证文件-证书。

证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名;

签名的产生算法:首先,使用哈希函数计算公开的明文信息的信息摘要,然后,采用 CA 的私钥对信息摘要进行加密,密文即签名;

d.客户端 C 向服务器 S 发出请求时,S 返回证书文件;

e.客户端 C 读取证书中的相关的明文信息,采用相同的哈希函数计算得到信息摘要,然后,利用对应 CA 的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法;

 

PKI实验

实验步骤;

1、配置服务器IP地址10.1.1.2/24

2、安装IIS服务,并建立站点。

在xp客户机上验证访问 http://www.flower.com

3、安装CA组件

4、打开IIS,先生成证书申请文件

5、向CA申请证书:

打开网页:http://10.1.1.2.certsrv 并向CA发送web服务器申请文件

6、CA颁发证书

7、在web服务器上下载并完成安装

8、在web服务器上启用SSL443

9、在客户端上验证

posted @ 2020-08-18 15:24  清风牧歌  阅读(309)  评论(0编辑  收藏  举报