All in one PKI技术和Cisco CA操作

Posted 2022-05-07 林炜玮_51CTO

PKI技术原理与组成

PKI技术组成部分PKI、CA、证书

1、PKI（公钥基础设施）

一套技术和规范，支持部署基于大部分的公钥技术，主要包含如下内容

1）x.509

• 用于定义数字证书组成和拓展内容作用的标准
• RFC(Request For Comments)颁发，而RFC是由互联网工程任务组（IETF）发布的一系列备忘录

2）x.500

• x.500是为目录标准，只要个人信息存放在目录中既可以查询对应信息，由于过于复杂在一定程度被LDAP取代
• 目录命名方式为DN，例如

• cn（common name 常用名称）= HGB
• ou（organization unit name 公司部门名称）= SEC
• o（organization name 公司名称）= FTJW
• c（country name 国家名称）= CN
• I = Location 地点
• DC = domain component 域名

3）PEM

• 将证书转为文本格式，经常使用改编码格式导入、导出证书或密码
• 有明显的开头和结尾标识

4）SCEP

简单证书申请协议，思科研发后先已转为工业标准，使用HTTP协议传输的在线证书技术

5）PKCS

• PKCS#7封装数据标准，用于封装数字证书。文件拓展名为.p7b .p7c
• PKCS#10证书请求语法标准

6）小结

底层大概流程

1. 证书申请发起HTTP流量
2. SEEP协议申请证书
3. 证书请求用PKCS#10进行编码
4. 证书请求用PKCS#7进行封装
5. 认证中心CA收到综上内容
6. HTTP/PKCS#7返回颁发证书

2、CA

认证中心这是PKI的核心，数字证书的申请和签发机关，主要包含

1）证书服务器

验证证书请求和颁发证书

2）关于私有证书服务器（Private_CA）

一个公司或部门所使用的内部服务器，免费但信任关系有限

3）关于公共证书服务器（Public_CA）

知名、全局证书服务器，由专业公司维护。付费可全局使用

4）下级附属证书服务器（Sub-CA）

层次化PKI，属于高可用和简化管理的解决方案，Sub-CA可承担责任：作为信任颁发机构，验证和颁发证书

5）注册授权服务器（RA）

主要用于分担和降低CA的负担，RA的角色和功能：接收证书请求、验证请求者身份，请求者和RA之间不需要建立信任关系，RA和CA之间必须建立信任关系

3、证书

被认证中心签名的认证的文档，用于捆绑个人信息与公钥。数字证书组成部分如下图

1）版本、序列号、签名算法、颁发者、有效期

2）使用者

3）公钥，RSA为公钥算法

4）证书服务器签名

5）拓展：数字证书拓展属性

• 使用者密钥标识符，一个使用者可以拥有多个公钥，通过标识明确需要哪个密钥执行签名
• 颁发机构密钥标识符，一个证书服务器可以用同时使用多个私钥执行签名，通过标识明确该证书是由对应服务器的对应私钥签名产生​
• CRL分发点，决定吊销列表所存放位置，客户端获取吊销列表来确定已作废证书
• 密钥用法，密钥用于签名和加密
• 基本约束，只有证书服务器的根证书有基本约束
• 增强密钥用法​，说明密钥额外的用途

PKI处理流程与步骤

1. 时间同步
2. 部署证书服务器CA
3. 客户端产生密钥
4. 验证证书服务器
5. 申请个人证书
6. 审核并签名证书
7. 颁发签名证书
8. 颁发数字证书

思科密钥创建与使用

生成密钥genral-keys和 usage-keys 

ciscoasa(config)# crypto key generate rsa     #默认创建了genral-keys

WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

ciscoasa(config)# crypto key generate rsa  usage-keys 

WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

查看产生的密钥

genral-keys知识点：

1. 是一对密钥
2. 密钥既能加密也能签名
3. 只需要申请一张证书来对一个公钥执行认证
4. 由于使用频繁，安全性低于Usage keys

usage-keys 知识点：

1. 是两对密钥
2. 一对用于加密，一对用于签名
3. 需要申请两张证书来对应两个公钥执行认证
4. 安全性高于General key，但配置量大于General key

附带参数解析

ciscoasa(config)# cry key generate rsa general-keys label CCIElinweiwei modulu 4096

INFO: The name for the keys will be: CCIElinweiwei

Keypair generation process begin. Please wait...

lab参数给密钥起名称,后续直接调用名称即可，仅本地标识，若使用默认命令FQDN（hostname + domain_name）
mode配置密钥长度，安全的同时也会加大性能消耗

证书导入导出

是否允许导出

crypto key generate rsa exportable  #创建并导出证书
crypto key generate rsa non-exportable  #创建并不允许导出证书，不可逆

密钥删除