1.概论
(1)名称
public key infrastructure:公开秘钥基础设施
(2)作用
通过加密技术和数字签名保证信息的安全
(3)组成
公钥机密技术、数字证书、CA、RA
2.信息安全三要素
(1)机密性
(2)完整性
(3)身份验证/操作的不可否认性
3.应用领域
(1)SSL/HTTPS
(2)IPsecVPN
(3)部分远程访问VPN
4.公钥加密技术
作用:实现对信息加密、数字签名等安全保障
加密算法:
(1)对称加密算法:加解密的秘钥一致!
DES,3DES,AES
(2)非对称加密算法:RSA
通信双方各自产生一对公私钥。
双方各自交换公钥
公钥和私钥为互相加解密关系!
公私钥不可互相逆推!
(3)HASH算法(不可逆):
MD5,SHA
(比如说a和b进行通信,a用b的公钥加密要发的明文,到b那里在用b的私钥解开,b也是一样)
但是发现只能保证机密性,但是很容易在传送中途被破坏而b又不知道,所以还需要保证完整性
如果保证完整性呢?
首先会想到:一般使用如MD5算法首先将a加密后的密文进行MD5加密成一串乱码(称为摘要,下同),然后发送到b后,b在将密文进行MD5加密,如果两次摘要相同,就可以保证数据的没有被篡改
**然后会发现问题:**破坏的人可以将信息破坏后将破坏后的信息也使用MD5算法进行加密后打包送到b后,b是检测不出问题的,所以需要继续升级。
解决方案::对摘要进行升级,加密后的摘要再使用a的私钥进行RSA加密后送到b,b使用a的公钥对摘要进行解密后与密文使用MD5的算法进行比较,如果相同则没问题(实质就是又加了一层RSA加解密的过程,也称为数字签名)
5.CA(Certificate Autority)
CA证书:
- 证书用于保证公密的合法性
- 证书格式遵循X.509标准
- 数字证书包含信息:
- 使用者的公钥值
- 使用者表示信息(如名称和电子邮件地址)
- 有效期(证书的有效时间)
- 颁发者标识信息
- 颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
为了解决一个问题:a将公钥发给b的时候被黑客劫持了,黑客将自己的公钥发给了b,b以为是a发来的,就会出现问题
解决办法:首先a要想与b通信,先去联系CA申请证书,证书上应该有a的IP和公钥,然后用CA的私钥进行加密后颁发给a,等b收到了a的公钥后,就去CA确认,CA把公钥给b,b将a的证书解密后,如果与a发来的公钥一致,说明没有问题
6.配置HTTPS服务器
6.1.配置CA证书
(1)在电脑->管理->添加角色中添加活动目录证书
(2)在IIS中双击服务器,找到服务器证书按钮,创建证书
6.2.申请CA证书
(1)去CA官方网站申请证书,CA网站就是搭建完IIS服务器后,生成的默认站点的子网站,使用IP/certsrv访问
(2)点申请证书-> 有两种,一种是web申请证书(是给客户用的证书,有时候需要双向验证,不仅客户要验证服务器,服务器也要验证客户,就会用到该证书),所以点击申请高级证书-> 点击base编码那一个->将上一步申请的txt文件复制到网站的输入框内->申请证书后,能在证书管理机构中的挂起的证书找到
(3)右键证书->颁发
(4)再次访问CA网站->点击查看挂起证书申请的状态->保存的证书->下载证书保存到桌面
(5)进入IIS服务器,右键服务器找到服务器证书->点击完成证书申请->将刚刚下载的证书导入进来
(6)右键需要绑定的网站->编辑绑定->点击添加,然后换成https,选择SSL证书(刚刚配置好的)
(7)找到SSL设置点击要求SSL(不准客户访问80端口),里面的客户证书就是双向验证,如果点必需,那么客户要访问该网站必需要先取得证书才能访问->点击应用
出现该网站的安全证书有问题证明已经完成了,因为该CA是服务器自带的证书,而不是中国通用的证书
1146
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
