PKI Public Key Infrastructure 公钥基础设施
作用: 通过加密技术和数字签名保证信息的安全
组成: 公钥加密技术、数字证书、CA(Certification Authority)、RA(Regisration Authority)
- 信息安全三要素
机密性
完整性
身份验证/操作的不可否认性
Tips: 机密性 是使用接收者的公钥加密; 身份验证/数字签名 使用发送者的私钥
- 领域
a. SSL / HTTPS
b. IPsecVPN
c. 部分远程访问VPN - 公钥加密技术
实现对信息加密、数字签名等安全保障
加密算法:
a. 对称加密算法
加解密的密钥一致
DES 3DES AES
b. 非对称加密算法
通信双方各自产生一堆公私钥
双方各自交换公钥
公钥和私钥为互相加解密关系
公私钥不可互相逆推
RSA DH
-
HASH
MD5 SHA-128、256…(验证完整性)
HASH值不可逆 -
数字签名
使用自己的私钥 对 原文加密得出的密文就是数字证书 -
证书
证书用于保证公密的合法性
遵循X.509标准
数字证书包括:使用者公钥值、使用者标识信息、有效期、颁发标识信息、颁发者的数字签名
a. 同一虚拟网络环境
b. 配置IP, 在客户机里面 将DNS指向 服务器, 服务器的DNS指向其他
c. 安装IIS管理器(发布网站),Web证书服务
c1. 右击 我点电脑-> 管理 -> 角色 -> 添加角色 -> IIS(勾选应用程序ASP...), 证书服务
d. IIS已有默认网站,不要修改,之后的证书服务会贴入到该站点下面
e. 发布网站,使用主机名访问的方式
f. 安装DNS服务
f1. 新建区域之后,创建主机名,以便访问网站
g. 开始进入证书安装
g1. 在IIS中点击服务器,进入 服务器证书 中,点击 创建证书申请
g2. 通用名称 是为哪一个网站创建证书,则填该网站的域名或者IP;其他的随意
g3. 创建完之后,会在所选位置上生成一个 填入文件名 的文档,进入文档,全选复制
g4. 打开IE,进入 IIS默认网站/certSrv ,例如: http://192/168.5.1/certSrv
g5. 点击申请证书 -> 高级证书申请(其他的客户端的证书申请,选择Web证书)
g6. 点击 使用编码... 方式
g7. 将之前的全选复制的编码 粘贴在这; 提交
g8. 进入 证书颁发服务 工具,进入 挂起的申请 ; 为申请的证书 进行颁发
g9. 再次进入证书网站,IIS默认网站/certSrv,点击 查看挂起的...
g10.就会有一个证书已被颁发,点击,下载该证书到本地电脑中
g11.回到IIS中,点击 完成证书创建 ; 将上面下载的证书路径填入,好记名称 可以 命名为相关网站的名字;确定
g12.然后在IIS中再 点击具体的 网站,右键 绑定,为该网站添加 https记录
g13.到此,已经OK
g14.还有一个设置 SSL设置, 选中,且必需的话,则要求客户机也要有证书,申请的步骤雷同上述g,只是证书类型不同