PKI技术

1. PKI概述

名称:Public Key Infra…公钥基础设施
作用:通过加密技术和数字签名保证信息的安全
组成:公钥加密技术、数字证书、CA、RA

2. 信息安全三要素

机密性
完整性
身份验证/操作的不可否认性

3. 哪些IT领域用到PKI:

1)SSL/HTTPS
2)IPsecVPN
3)部分远程访问VPN

4. 公钥加密技术

作用:实现对信息加密、数字签名等安全保障
加密算法:

1
2
3
1)对称加密算法
加解密的密钥一致!
DES 3DES AES
2)非对称加密算法
通信双方各自产生一对公私钥。
双方各自交换公钥
公钥和私钥为互相加解密关系!
公私钥不可互相逆推!
RSA  DH

x+5=y(对称加密算法)
x是原数据/原文
y是密文
5是key/密钥

HASH算法:MD5 SHA (验证完整性)
HASH值可逆么?不可逆!
HASH值=摘要

数字签名:
用自己的私钥对摘要加密得出的密文就是数字签名

5. 证书:

证书用于保证公密的合法性
证书格式遵循X.509标准
数字证书包含信息:
使用者的公钥值
使用者标识信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识信息
颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发

CA是权威证书颁发机构,为了公正“公钥”的合法性!
机密性:使用对方的公钥加密!
身份验证/数字签名:使用自己的私钥!

6. 实验名称:部署HTTPS服务器/部署SSL服务器

实验环境:
1)win2008作为https服务器:10.1.1.1/24
2)win7作为客户机:10.1.1.2/24
3)桥接到虚拟网络vmenet1

实验步骤:

  1. 配置服务器IP地址10.1.1.1/24。

  2. 安装IIS服务 并建立一个站点,角色服务使用了“应用程序开发”(意味着可以发布动态网站)。

    (必须使用域名)并配置DNS服务器,并初步验证访问http://www.haoye.com一下。

  3. 安装CA组件(active活动目录证书)->角色服务(证书颁发机构/web注册)

  4. 打开IIS,服务器证书申请(通用名称:www.haoye.com,申请文件为服务器公钥)

  5. 向CA申请证书:
    打开网页http://10.1.1.1/certsrv并使用base64编码(选高级证书申请,是服务器申请的;web浏览器证书是员工申请,这是一个双向验证,证明员工是自己公司的)

  6. CA(挂起的证书中)颁发证书

  7. 在web服务器(查看挂起的证书申请状态)上下载并完成安装

  8. 在IIS的web服务器中找到服务器证书完成证书申请

  9. IIS中对网站king编辑绑定,添加https,导入证书

  10. 对king网站的SSL设置,要求SSL意味着只能用443端口访问,不能用80端口访问,最后要在右边“应用”

  11. 这时候win7访问网页显示不是信任的,win7通过浏览器导入公钥证书证书;访问http://10.1.1.1/certsrv下载CA证书,Internet选项中导入,存储为“"受信任的证书颁发机构"