PKI与证书

PKI与证书

制作人：全心全意

PKI：公钥基础设施（保证网络安全传输安全），通过使用公钥技术和数字签名来确保信息安全，并负责验证数字证书持有者身份的一种技术（机密性、完整性、身份验证、不可否认性）

PKI由公钥加密技术、数字证书、认证机构（CA），注册机构（RA）等共同构成

公钥加密技术是PKI的基础，这种技术需要两种密钥：公钥和私钥，公钥的私钥的关系如下：

　　公钥和私钥是成对生成的，这两个密钥互不相同，可以互相加密和解密

　　不能根据一个密钥来推算出另一个密钥

　　公钥对外公开，私钥只有私钥的持有人才知道

　　私钥应该由密钥的持有人妥善保管

数字加密技术主要用在两个方面

　　加密：使用对端的公钥加密对称（会话）密钥，可保证机密性

　　签名：使用自己的私钥加密摘要值，可以保证完整性（hash算法，对比发送前和发送后的摘要值），身份验证，不可否认性。

公钥加密技术是非对称加密技术

　　对称加密技术：用相同的秘钥加密和解密。缺点是不安全，秘钥一旦泄露，加密的数据也变得不安全，但处理速度快

　　非对称加密技术：用于加密对称密钥和数字签名

 

PKI的具体应用：SSL、HTTPS、IPSec（VPN）：用户登录、文件加密、web服务器加密、邮件加密、设备加密、程序加密、数据库加密

 

证书颁发结构

　　CA（颁发）：处理证书申请、鉴定申请者是否有资格接收证书、证书的发放、证书的更新、接收最终用户数字证书的查询，撤销，产生和发布证书吊销列表（CRL）、数字证书的归档、密钥归档、历史数据归档。

　　RA（注册）：接收证书申请

 

什么是证书

　　数字证书包括：使用者的公钥值、使用者的标识信息（如名称和电子邮件地址）、有效期、颁发者的标识信息、颁发者的数字签名

 

配置web服务器证书

　　新建web网站，生成证书请求文件（IIS中），（通用名称一定为网站的FQDN名）

　　把生成的请求文件提交给RA（http://RA的IP/certsrv），模板为web服务器，下载证书

　　将下载的证书安装到对应的web网站，添加HTTPS协议，对应端口号443，可以选择“必须启用SSL”，针对客户端证书可以选择忽略、接受和必须，默认是忽略

　　可以对web证书做备份，导出web服务器证书，也可以导出对应的私钥