回答
2
浏览
230
回答数量:
1.认证机构(CA)
2.数字证书库
3.密钥备份及恢复系统
4.证书作废系统
5.应用接口(API)
6.证书注册机构(RA)
7.证书库
1.认证机构(CA)
2.数字证书库
3.密钥备份及恢复系统
4.证书作废系统
5.应用接口(API)
6.证书注册机构(RA)
7.证书库
PKI的组成:
一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。
PKI框架的三个重要角色:
附材料:
PKI基础架构
密钥管理面临的挑战:
在使用任何基于RSA服务之前 ,一个实体需要真实可靠的获取其他实体的公钥。
PIK介绍:
公钥基础设施PKI(Public Key Infrastructure),是通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PIK保证了通信数据的私密性、完整性、不可否认性和 源认证性 。
为什么要用PKI:
IPSec身份认证(预共享密钥方式):
IPSec身份认证(PIK中的证书认证方式):
数字证书介绍
数字证书:
数字证书简称证书,它是一个经证书授权中心CA数字签名的文件,包含拥有者的公钥及相关身份信息。
数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。
证书结构:
最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效期,颁发者(证书授权中心)的名称,该证书的序列号等信息,证书的结构遵循X.509 v3版本的规范。
图:证书组成结构
证书的各字段解释:
证书类型:
证书格式:
PKI的核心部分CA
CA介绍:
证书认证机构CA(Certificate Authority)。CA是PKI的信任基础,是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构,通常由服务器充当,例如Windows Server 2008。
CA通常采用多层次的分级结构,根据证书颁发机构的层次,可以划分为根CA和从属CA。
CA的核心功能就是发放和管理数字证书,包括:证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL(Certificate Revocation List)的发布等。
有关CA的特性:
CA颁发证书流程:
PKI的组成:
一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。
PKI框架的三个重要角色:
数字证书的验证过程:
第一步:验证前的主备:
实体A:需要有A的公钥、A的私钥、A证书、CA证书
实体B:需要有B的公钥、B的私钥、B证书、CA证书
交换证书:
实体A有了B证书,实体B有了A证书。
第二步:验证证书是否合法
举例:A验证B证书是否合法:
B证书:B公【CA私HASH(B公】
CA证书:CA公【CA私HASH(CA公】
用CA公解密B证书——得到HASH值12345。
使用B证书提供的个人信息,公钥,签名算法也做HASH值得到12345 。
如果两次hash值相同,即验证了B证书的合法。
第三步:验证证书的持有者
A举例:用A的私钥加密HASH值得到签名。用B的公钥解密,得到HASH值。
第四步:使用公钥加密实现私密性
证书申请步骤
证书申请过程:
前提条件:正确部署CA服务器
同步时间:时间是PIK系统的重中之重,必须先确保参加PKI系统的设备和主机的时间同步。才能开始PKI的部署。
当设备的时间慢与证书有效期的开始时间或者设备时间大于证书有效期的结束时间那么证书都是无效的。
忌讳:设备时间比证书服务器的时间慢。
部署证书服务器。证书服务器是整个PKI系统的核心。可以选择微软的证书服务器。
客户端产生密钥对。每一个实体在申请证书之前,需要预先产生RSA的秘钥对。
验证证书服务器的合法性。每一个实体需要获取证书服务器的根证书,里面包含证书服务器的公钥。获取了根证书后,可以通过fingerprint离先验证证书服务器。
申请个人证书。每一个实体发送自己的个人信息和公钥到证书服务器。(在线和离线方式)
CA审核并签名证书。管理员对每一个证书请求进行审核,并对个人信息和公钥内容进行数字签名,签名后的文件即为数字证书。
CA颁发数字证书给设备。证书服务器把签名的证书颁发给实体。
设备相互交换证书。
证书申请方式
证书主要有以下申请方式:
SECP介绍:
RKCS#10介绍:
Web-based证书申请:
证书吊销方式:
CRL(证书吊销列表):周期性查询,有CRL吊销
类似于通缉布告
time-stamped(有效期)
CA-signed(服务器签名)
客户周期性轮询CRL存储位(http、ldap、ftp)获取当前CRL。
管理员一旦吊销证书,新的CRL就会被颁布,但是新的CRL并不会立即被客户获取,必须等老的CRL超期,才能获取新的CRL
OCSP(Online Cerificate Status Protocol):在线吊销
在线式证书吊销状态查询协议,IOS CA暂不支持。
证书的应用:
通过HTTPS登录web界面的应用
管理员可以通过HTTPS方式安全地登录HTTPS服务器的Web界面,并通过Web界面对设备进行管理。为了提高双方建立SSL连接时的安全性,在设备上为HTTPS客户端指定由Web浏览器信任的CA颁发的本地证书。这样,Web浏览器可以验证本地证书的合法性,避免了可能存在的主动攻击,保证了管理员的安全登录。
在SSL连接建立的过程中,HTTPS客户端和HTTPS服务器之间的主要交互流程如下:
在IPSec VPN中应用
采用基于PKI的证书进行身份认证后,IPSec在进行IKE协商过程中交换密钥时,会对通信双方进行身份认证,保证了密钥交换的安全。而且,证书可以为IPSec提供集中的密钥管理机制,并增强整个IPSec网络的可扩展性。同时,在采用证书认证的IPSec网络中,每台设备都拥有PKI认证中心颁发的本地证书。有新设备加入时,只需要为新增加的设备申请一个证书,新设备就可以与其它设备进行安全通讯,而不需要对其他设备的配置进行修改,这大大减少了配置工作量。
在SSL VPN中应用
在SSL VPN应用中,SSL VPN客户端可以通过证书验证SSL VPN网关的身份;SSL VPN网关也可以通过证书来验证客户端的身份。
在IPv6 Send中应用:在IPv6 Send场景中,为了防止设备被攻击者冒充,可以在设备上配置SEND(Secure Neighbor Discovery)路由器授权功能,路由器授权功能可以用于对设备的身份进行认证。