PKI

PKI

1、PKI概述

名称：Public Key Infrastruction 公钥基础设施

作用：通过加密技术和数字签名保证信息的安全

组成：公钥机密技术、数字证书、CA、RA

2、信息安全三要素

机密性

完整性

身份验证/操作的不可否认性

3、哪些IT领域用到PKI：

1）SSL/HTTPS

2）IPsecVPN

3）部分远程访问VPN

4、公钥加密技术

作用：实现对信息加密、数字签名等安全保障

加密算法：

1）对称加密算法

加解密道的密钥一致

DES 3DES AES

2）非对称加密算法

*通信双方各自产生一对公私钥

*双方各自交换公钥

*公钥和私钥互为加解密关系！

*公私钥不可互相逆推！

RSA DH

3）HASH算法：MD5 SHA（不可逆,验证完整性）

HASH值 = 摘要

5、数字签名：

用自己的私钥对摘要加密得出的密文就是数字签名

6、证书：

证书用于保证公密钥的合法性

证书格式遵循X.509标准

数字证书保护信息：

使用者的公钥值

使用者标识信息（如名称和电子邮件地址）

有效期（证书的有效时间）

颁发者标识信息

颁发者的数字签名

数字证书由权威公正的 第三方机构即CA签发

过程

a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证；

b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等；

c.如信息审核通过，CA 会向申请者签发认证文件-证书。

证书包含以下信息：申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文，同时包含一个签名；

签名的产生算法：首先，使用哈希函数计算公开的明文信息的信息摘要，然后，采用 CA 的私钥对信息摘要进行加密，密文即签名；

d.客户端 C 向服务器 S 发出请求时，S 返回证书文件；

e.客户端 C 读取证书中的相关的明文信息，采用相同的哈希函数计算得到信息摘要，然后，利用对应 CA 的公钥解密签名数据，对比证书的信息摘要，如果一致，则可以确认证书的合法性，即公钥合法；

 

PKI实验

实验步骤;

1、配置服务器IP地址10.1.1.2/24

2、安装IIS服务，并建立站点。

在xp客户机上验证访问 http://www.flower.com

3、安装CA组件

4、打开IIS，先生成证书申请文件

5、向CA申请证书：

打开网页：http://10.1.1.2.certsrv 并向CA发送web服务器申请文件

6、CA颁发证书

7、在web服务器上下载并完成安装

8、在web服务器上启用SSL443

9、在客户端上验证