目录
1.CA(Certificate Authority,证书颁发机构)
一、PKI的概念
PKI是Public Key Infrastructure的缩写,即公钥基础设施。它是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI技术的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。
二、证书服务在PKI技术中的作用
- 身份认证:通过使用数字证书,可以确认用户的身份标识,验证其身份。
- 数据完整性:数字证书可以保证数据在传送过程中没有被修改,确保数据的完整性。
- 加密和签名:数字证书可以用于加密和签名数据,保护数据的机密性和完整性。
- 密钥管理:数字证书可以用于密钥的生成、存储和管理,确保密钥的安全性和可用性
三、公钥加密技术
1.公钥加密技术是PKI的基础
- 证书用于保证密钥的合法性
- 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 数字证书包含信息
- 使用者的公钥值 使用者标识信息(如名称和电子邮件地址)
- 有效期(证书的有效时间) 颁发者标识信息
- 颁发者的数字签名 数字证书由权威公正的第三方机构即CA签发
2.公钥与私钥关系
- 公钥和私钥是成对生成的,互不相同,互相加密与解密
- 不能根据一个密钥来推算出另一个密钥
- 公钥对外公开,私钥只有私钥持有人才知道
- 私钥应该由密钥的持有人妥善保管
四、CA的作用
1.CA(Certificate Authority,证书颁发机构)
2.CA的作用
- CA的核心功能是颁发和管理数字证书
- 处理证书申请
- 发放证书
- 更新证书
- 接受最终用户数字证书的查询、撤销 产生和发布证书吊销列表(CRL)
3.证书的颁发过程
- 用户生成密钥对,根据个人信息填好申请证书的信息,并提交证书申请信息。
- 在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性。
- 如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等。
- RA用自己的私钥对用户申请信息签名,保证用户申请信息是RA提交给CA的。
- CA用自己的私钥对用户的公钥和用户信息ID进行签名,生成电子证书。这样,CA就将用户的信息和公钥捆绑在一起了,然后,CA将用户的数字证书和用户的公用密钥公布到目录中。
- CA将电子证书传送给批准该用户的RA。
- RA将电子证书传送给用户(或者用户主动取回)。
- 3.2.3用户验证CA颁发的证书,确保自己的信息在签名过程中没有被篡改,而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。
五、证书颁发机构的部署和管理
- 管理客户端的证书
- 证 书 注 册
六、实验过程
1、Active Directory证书服务安装,在类似下图截图
2、选择证书注册WEB服务,系统会自动选择安装IIS,在类似下图截图到
3、 配置证书服务,在类似下图截图
4、配置证书服务,在类似下图截图到
5、先配置CA服务,在类似下图截图
6、确认CA服务类型为企业且是根,在类似下图截图
7、配置证书注册服务,在类似下图截图到
8、将administrator加入内置组iis_iusrs组,在类似下图截图到
9、继续配置证书注册服务,在类似下图截图
10、管理证书颁发机构,熟悉证书颁发机构控制台,在类似下图截图
11、了解管理证书模板,在类似下图截图到
12、证书申请(为网站www.abc.com申请),在类似下图截图
13、申请程序位置(为网站www.abc.com申请,在类似下图截图)
14、开始证书申请(为网站www.abc.com申请,在类似下图截图)。
15、证书申请资料填写(为网站www.abc.com申请,在类似下图截图)。
16、生成证书申请文件(未要求截图的参数选择默认,在类似下图截图)。
17、打开web页面。在类似下图截图,(注:若打不开网站,请安装并配置:证书颁发机构WEB注册 角色;若默认浏览器不可用,请安装极速)
18、使用高级申请。在类似下图截图到
19、使用编码文件申请。在类似下图截图
20、打开abc.txt,用复制和粘贴提交编码文件内容。在类似下图截图
21、下载证书,在类似下图截图
22、保存证书到安全位置,在类似下图截图
七、本章总结
在进行PKI与证书服务的实验之后,我获得了以下一些心得:
首先,我深刻认识到了PKI和证书服务在网络安全领域的重要性。通过实验,我了解到了PKI的基本原理和架构,以及证书服务在身份认证、数据完整性保护和加密等方面的作用。这让我更加清楚地意识到了保护网络安全的重要性和必要性。
其次,实验过程中,我遇到了一些挑战和困难,但通过不断尝试和摸索,我最终成功地完成了实验。这让我深刻体会到了实践的重要性和意义。只有通过实际操作,才能真正掌握和理解技术知识和技能。
最后,我也意识到了自己在网络安全领域的不足之处。通过实验,我发现自己在某些方面的知识和技能还不够扎实和深入。因此,我需要进一步加强学习和实践,提高自己的技术水平和综合素质。同时,我也需要更加注重团队合作和沟通,以便更好地完成复杂的实验任务。