All in one PKI技术和Cisco CA操作
Posted 林炜玮_51CTO
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了All in one PKI技术和Cisco CA操作相关的知识,希望对你有一定的参考价值。
PKI技术原理与组成
PKI技术组成部分PKI、CA、证书
1、PKI(公钥基础设施)
一套技术和规范,支持部署基于大部分的公钥技术,主要包含如下内容
1)x.509
- 用于定义数字证书组成和拓展内容作用的标准
- RFC(Request For Comments)颁发,而RFC是由互联网工程任务组(IETF)发布的一系列备忘录
2)x.500
- x.500是为目录标准,只要个人信息存放在目录中既可以查询对应信息,由于过于复杂在一定程度被LDAP取代
- 目录命名方式为DN,例如
- cn(common name 常用名称)= HGB
- ou(organization unit name 公司部门名称)= SEC
- o(organization name 公司名称)= FTJW
- c(country name 国家名称)= CN
- I = Location 地点
- DC = domain component 域名
3)PEM
- 将证书转为文本格式,经常使用改编码格式导入、导出证书或密码
- 有明显的开头和结尾标识
4)SCEP
简单证书申请协议,思科研发后先已转为工业标准,使用HTTP协议传输的在线证书技术
5)PKCS
- PKCS#7封装数据标准,用于封装数字证书。文件拓展名为.p7b .p7c
- PKCS#10证书请求语法标准
6)小结
底层大概流程
- 证书申请发起HTTP流量
- SEEP协议申请证书
- 证书请求用PKCS#10进行编码
- 证书请求用PKCS#7进行封装
- 认证中心CA收到综上内容
- HTTP/PKCS#7返回颁发证书
2、CA
认证中心这是PKI的核心,数字证书的申请和签发机关,主要包含
1)证书服务器
验证证书请求和颁发证书
2)关于私有证书服务器(Private_CA)
一个公司或部门所使用的内部服务器,免费但信任关系有限
3)关于公共证书服务器(Public_CA)
知名、全局证书服务器,由专业公司维护。付费可全局使用
4)下级附属证书服务器(Sub-CA)
层次化PKI,属于高可用和简化管理的解决方案,Sub-CA可承担责任:作为信任颁发机构,验证和颁发证书
5)注册授权服务器(RA)
主要用于分担和降低CA的负担,RA的角色和功能:接收证书请求、验证请求者身份,请求者和RA之间不需要建立信任关系,RA和CA之间必须建立信任关系
3、证书
被认证中心签名的认证的文档,用于捆绑个人信息与公钥。数字证书组成部分如下图
1)版本、序列号、签名算法、颁发者、有效期
2)使用者
3)公钥,RSA为公钥算法
4)证书服务器签名
5)拓展:数字证书拓展属性
- 使用者密钥标识符,一个使用者可以拥有多个公钥,通过标识明确需要哪个密钥执行签名
- 颁发机构密钥标识符,一个证书服务器可以用同时使用多个私钥执行签名,通过标识明确该证书是由对应服务器的对应私钥签名产生
- CRL分发点,决定吊销列表所存放位置,客户端获取吊销列表来确定已作废证书
- 密钥用法,密钥用于签名和加密
- 基本约束,只有证书服务器的根证书有基本约束
- 增强密钥用法,说明密钥额外的用途
PKI处理流程与步骤
- 时间同步
- 部署证书服务器CA
- 客户端产生密钥
- 验证证书服务器
- 申请个人证书
- 审核并签名证书
- 颁发签名证书
- 颁发数字证书
思科密钥创建与使用
生成密钥genral-keys和 usage-keys
ciscoasa(config)# crypto key generate rsa #默认创建了genral-keys
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
ciscoasa(config)# crypto key generate rsa usage-keys
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
查看产生的密钥
genral-keys知识点:
- 是一对密钥
- 密钥既能加密也能签名
- 只需要申请一张证书来对一个公钥执行认证
- 由于使用频繁,安全性低于Usage keys
usage-keys 知识点:
- 是两对密钥
- 一对用于加密,一对用于签名
- 需要申请两张证书来对应两个公钥执行认证
- 安全性高于General key,但配置量大于General key
附带参数解析
ciscoasa(config)# cry key generate rsa general-keys label CCIElinweiwei modulu 4096
INFO: The name for the keys will be: CCIElinweiwei
Keypair generation process begin. Please wait...
lab参数给密钥起名称,后续直接调用名称即可,仅本地标识,若使用默认命令FQDN(hostname + domain_name)
mode配置密钥长度,安全的同时也会加大性能消耗
证书导入导出
是否允许导出
crypto key generate rsa exportable #创建并导出证书
crypto key generate rsa non-exportable #创建并不允许导出证书,不可逆
密钥删除
以上是关于All in one PKI技术和Cisco CA操作的主要内容,如果未能解决你的问题,请参考以下文章