PKI技术与应用
学习目标
理解PKI的相关理论
理解证书的发放过程
掌握证书服务的安装
掌握企业CA的管理
掌握在Web服务器上设置SSL
PKI概念
PKI(公钥基础设施,Public Key Infrastructure):
通过使用公钥技术和数字签名来确保信息安全
由公钥加密技术、数字证书、CA、RA组成
KPI体系能实现的功能:
身份验证
数据完整性
数据机密性
操作的不可否认性
公钥加密技术
公钥加密技术是PKI的基础
公钥与私钥的关系
公钥和私钥是成对生成的,互不相同,互相加密与解密
不能根据一个密钥来推算出另一个密钥
公钥对外公开,私钥只有私钥持有人才知道
私钥应该由密钥的持有人妥善保管
分为数据加密和数字签名
数据加密
发送方使用接收方的公钥加密数据
接收方使用自己的私钥来解密数据
数据加密能保证所发送数据的机密性
数字签名
发送方
对原始数据执行HASH算法得到摘要值
发送方用自己私钥加密摘要值
将加密的摘要值和原始数据发送给接收方
数字签名保证数据完整性、身份验证和不可否认
KPI协议
SSL
认证用户和服务器,确保数据发送到正确的客户机和服务器
加密数据以防止数据中途被窃取
维护数据的完整性,确保数据在传输过程中不被改变
HTTPS
在HTTP Web上增加了SSL协议
使用SSL来实现安全的通信
IPSec
目前最流行的VPN解决方案
证书
证书用于保证密钥的合法性
证书的主体可以是用户、计算机、服务等
证书的格式遵循X.509标准
数字证书包含信息:使用者的公钥值、使用者标识信息(如名称和电子邮件地址)、有效期、颁发者标识信息、颁发者的数字签名
数字证书由权威公正的第三方机构CA签发
CA(Certificate Authority,证书颁发机构)
核心功能:颁发和管理数字证书
CA的作用:
处理证书申请
发放证书
更新证书
接收最终用户数字证书的查询、撤销
产生和发布证书吊销列表(CRL)
数字证书归档
证书的颁发过程
证书服务的应用
证书的申请和颁发
申请证书
提交申请证书
颁发证书
证书的安装与使用
在Web服务器上安装证书
配置安全通道(SSL)
使用https协议访问网站
证书的导入与导出
安装了证书的网站需要重新创建