网络安全学习--PKI

Posted 2021-12-29 丢爸

PKI

PKI 概述

公钥基础设施(Public Key Infrastructure)：通过加密技术和数字签名保证信息的安全
组成：公钥加密技术，数字证书，CA(Certificate Authority)，RA

信息安全三要素

• 机密性
• 完整性
• 身份认证/操作不可否认

PKI使用

• SSL/HTTPS
• IPsecVPN
• 部分远程访问VPN

公钥加密技术

作用：实现对信息加密、签名等

加密算法

• 对称加密算法----加解密密钥一致
• 非对称加密算法
  • 通信双方各自产生一对公私钥
  • 双方交换公钥
  • 公私钥实现互相加解密
  • 公私钥不可互相推算

数字签名

使用自己的私钥对摘要进行加密得出的密文即数字签名

证书

保证公钥的合法性
证书格式遵循X.509标准
数字证书包含
使用者的公钥值
使用者标识信息（名称和电子邮件）
有效期（证书有效期限）
颁发者标识信息
颁发者数字签名
数字证书由权威公正的第三方机构即CA签发

部署HTTPS服务器

CA是权威证书颁发机构，为了公正“公钥”的合法性！
机密性：使用对方的公钥加密
身份验证/数字签名：使用自己的私钥！

1. 添安装IIS服务

• 安装IIS服务后，添加一个网站
  
  

2. 安装DNS服务

• 安装DNS服务后，添加A记录
  

4. 安装CA

• 右键点击“我的电脑”->“管理”->“角色”，点击“添加角色”
  
• 点击下一步
  
• 选择证书颁发机构和证书颁发机构Web注册两项
  
• 因没有安装域，此处选择独立
  
• 第一次安装，选择根CA
  
• 新建私钥
  
• 使用默认，密钥长度越大，速度越慢
  
• 输入CA机构的名称
  
  设置CA机构本身证书的有效期
  
• CA信息存放路径
  
• 选择角色服务
  

5. 开始->管理工具->打开证书颁发机构
   

• 证书颁发机构页面
  

6. 为WEB服务器创建服务器证书
   

• 在服务器证书中右键点击，选择“创建证书申请”
  
• 输入基本信息
  
• 选择密钥长度
  
• 将证书申请文件保存至本地文件
  

7. 在CA证书服务安装时，会安装证书的Web程序，可以通过网页访问，进行证书申请
   

• 点击高级证书申请，上面的两项是为客户端机器申请证书使用
  
• 选择下面一项：使用base64…项
  
• 将证书申请时生成的txt文件内容，完全拷贝，粘贴至网页文本框，点击“提交”
  
• 证书生成
  
• 在证书颁发机构->挂起的申请中，执行颁发，进行证书颁发
  
• 证书颁发完成后，可以通过网页，下载证书
  
  
  
  
• 在IIS服务器上完成证书的申请
  
  
• 选择刚下载的证书文件
  
  
• 为网站添加https绑定
  
  
• 修改网站SSL设置项
  
• 选择要求SSL后，用户通过浏览器再访问时，必须使用https
  
• 通过网页访问https网站，在其他虚拟机上访问时，需要配置在同一个网络，并且DNS指向安装DNS服务的主机，完成域名解析