十二·PKI
*概述
名称:公钥基础设施 Public Key Infrastruction
作用:通过加密技术和数字签名保证信息安全
组成:公钥加密技术 数字证书 CA RA (四个统称PKI)
*信息安全三要素:机密性 完整性 身份验证/操作的不可否认性
*那些IT领域用到pki
1.ssl/HTTPS
2.IPsecVPN
3.远程访问vpn
*公钥加密技术
作用:实现信息加密,数字签名等安全保障
加密算法:
对称加密算法(加解密的密钥一致):
DES 3DES AES
y = x+5
x是原文
y是密文
5是key/密钥
非对称加密算法(通信双方各自产生一对公私钥)
RSA DH
双方各自交换公钥
公钥和私钥为互相加解密关系
公私钥不可互相逆推
相当于我把我的锁给你,你去写东西然后锁起来,钥匙只有我自己有,也就是说只有我能获得这个数据
哈希算法:MD5 SHA,验证数据的完整性,哈希算法出来的数据都是唯一的,该一个字节结果都不一样 HASH值不可逆
CA:证书颁发机构
CA向数据发送接收方颁发数字证书
RA:证书颁发机构分支
数字签名:用自己的私钥对摘要(hash算法加密的出的数据)加密用来证明是自己发的内容(保证身份验证)
数字证书就是数据发送方发在CA上 进行注册把自己的公钥,个人信息进行证明,通过CA来作为中间者互相验证,保证公钥这个数据不会被通信双方以外的的第三方知道
CA用自己的私钥把发送者的公钥加密,用作验证,接收者是有ca的公钥的,完全信任CA的情况下,用ca 的公钥解开发送者的公钥,由此可以证明公钥发送者确实是在ca两方做过认证的通信双方。
部署HTTPS服务器、部署SSL服务器
http://10.1.1.2/certsrv/
进入ca网站,把证书放入
1.配ip
2.安装iis 建立站点(必须使用域名)xp客户机设置hosts,初步验证站点
3.安装ca组件
4.打开iis,生产证书申请文件
5.http://ip地址/certsrv/
进入ca网站,向ca发送web服务器申请文件
6,ca颁发证书
7.在web服务器上下载并完成安装
8.在web上启用ssl 443端口
9.客户机上修改host,进行验证
10.要求用户必须使用443访问,不能使用80访问