网络安全学习--PKI

Posted 丢爸

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全学习--PKI相关的知识,希望对你有一定的参考价值。

PKI

PKI 概述

公钥基础设施(Public Key Infrastructure):通过加密技术和数字签名保证信息的安全
组成:公钥加密技术,数字证书,CA(Certificate Authority),RA

信息安全三要素
  • 机密性
  • 完整性
  • 身份认证/操作不可否认
PKI使用
  • SSL/HTTPS
  • IPsecVPN
  • 部分远程访问VPN
公钥加密技术

作用:实现对信息加密、签名等

加密算法
  • 对称加密算法----加解密密钥一致
  • 非对称加密算法
    • 通信双方各自产生一对公私钥
    • 双方交换公钥
    • 公私钥实现互相加解密
    • 公私钥不可互相推算
数字签名

使用自己的私钥对摘要进行加密得出的密文即数字签名

证书

保证公钥的合法性
证书格式遵循X.509标准
数字证书包含
使用者的公钥值
使用者标识信息(名称和电子邮件)
有效期(证书有效期限)
颁发者标识信息
颁发者数字签名
数字证书由权威公正的第三方机构即CA签发

部署HTTPS服务器

CA是权威证书颁发机构,为了公正“公钥”的合法性!
机密性:使用对方的公钥加密
身份验证/数字签名:使用自己的私钥!

  1. 添安装IIS服务
  • 安装IIS服务后,添加一个网站

  1. 安装DNS服务
  • 安装DNS服务后,添加A记录

  1. 安装CA
  • 右键点击“我的电脑”->“管理”->“角色”,点击“添加角色”
  • 点击下一步
  • 选择证书颁发机构和证书颁发机构Web注册两项
  • 因没有安装域,此处选择独立
  • 第一次安装,选择根CA
  • 新建私钥
  • 使用默认,密钥长度越大,速度越慢
  • 输入CA机构的名称

    设置CA机构本身证书的有效期
  • CA信息存放路径
  • 选择角色服务
  1. 开始->管理工具->打开证书颁发机构
  • 证书颁发机构页面
  1. 为WEB服务器创建服务器证书
  • 在服务器证书中右键点击,选择“创建证书申请”
  • 输入基本信息
  • 选择密钥长度
  • 将证书申请文件保存至本地文件
  1. 在CA证书服务安装时,会安装证书的Web程序,可以通过网页访问,进行证书申请
  • 点击高级证书申请,上面的两项是为客户端机器申请证书使用
  • 选择下面一项:使用base64…项
  • 将证书申请时生成的txt文件内容,完全拷贝,粘贴至网页文本框,点击“提交”
  • 证书生成
  • 在证书颁发机构->挂起的申请中,执行颁发,进行证书颁发
  • 证书颁发完成后,可以通过网页,下载证书



  • 在IIS服务器上完成证书的申请

  • 选择刚下载的证书文件

  • 为网站添加https绑定

  • 修改网站SSL设置项
  • 选择要求SSL后,用户通过浏览器再访问时,必须使用https
  • 通过网页访问https网站,在其他虚拟机上访问时,需要配置在同一个网络,并且DNS指向安装DNS服务的主机,完成域名解析


以上是关于网络安全学习--PKI的主要内容,如果未能解决你的问题,请参考以下文章

100集华为HCIE安全培训视频教材整理 | PKI基本架构

100集华为HCIE安全培训视频教材整理 | PKI核心部分CA

网络安全系统之四 PKI体系

#yyds干货盘点# web安全day12:PKI

公钥与证书服务---学习笔记(预习)

智能网联-浅谈基于PKI的车联网应用服务安全