什么是CA安全体系，CA认证体系,C A 分别代表什么

Posted 2023-04-05

参考技术A

什么是CA安全体系，CA认证体系,C A 分别代表什么

什么是ca
ca（certification authority）是以构建在公钥基础设施pki（public key infrastructure）基础之上的产生和确定数字证书的第三方可信机构（trusted third party），其主要进行身份证书的发放，并按设计者制定的策略，管理电子证书的正常使用。ca具有权威性、可信赖性及公正性，承担著公钥体系中公钥的合法性检验的责任。ca为每个使用公开金钥的使用者发放一个数字证书，数字证书的作用是证明证书中列出的使用者合法拥有证书中列出的公开金钥。ca的数字签名使得攻击者不能伪造和篡改证书，ca还负责吊销证书并发布证书吊销列表（crl），并负责产生、分配和管理所有网上实体所需的数字证书，因此，它是安全电子政务的核心环节。
ca认证体系的组成
ca认证体系由以下几个部门组成：一是ca，负责产生和确定使用者实体的数字证书。二是稽核授权部门，简称ra（registry authority），它负责对证书的申请者进行资格审查，并决定是否同意给申请者发放证书。同时，承担因稽核错误而引起的、为不满足资格的人发放了证书而引起的一切后果，它应由能够承担这些责任的机构担任。三是证书操作部门，证书操作部门cp（certification processor）为已被授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有获得授权的人发放了证书等，它可由ra自己担任，也可委托给第三方担任。四是金钥管理部门（km），负责产生实体的加金钥对，并对其解密私钥提供托管服务。五是证书储存地（dir），包括网上所有的证书目录。
在ca认证体系中，各组成部分彼此之间的认证关系一般如下：
（1）使用者与ra之间：使用者请求ra进行稽核，使用者应该将自己的身份资讯提交给ra，ra对使用者的身份进行稽核后，要安全地将该资讯转发给ca。
（2）ra与ca之间：ra应该以一种安全可靠的方式把使用者的身份识别资讯传送给ca。ca通过安全可行的方式将使用者的数字证书传送给ra或直接送给使用者。
（3）使用者与dir之间：使用者可以在dir中查询、撤销证书列表和数字证书。
（4）dir与ca之间：ca将自己产生的数字证书直接传送给目录dir，并把它们登记在目录中，在目录中登记数字证书要求使用者鉴别和访问控制。
（5）使用者与km之间：km接受使用者委托，代表使用者生成加密金钥对；使用者所持证书的加密金钥必须委托金钥管理中心生成；使用者可以申请解密私钥恢复服务；km应该为使用者提供解密私钥的恢复服务。使用者的解密私钥必须统一在金钥管理中心托管。
（6）ca与km之间：这二者之间的通讯必须是保密、安全的。要求它们之间用通讯证书来保证安全性。通讯证书是认证机关与金钥管理中心、上级或下级认证机关进行通讯时使用的计算机装置证书。这些专用的计算机装置必须申请并安装认证机构所释出的专用通讯证书，同时，还必须安装金钥管理中心、上级或下级认证机构专用通讯计算机装置所持有的通讯金钥证书和认证机构的根证书。
认证体系的职责
从上述论述中，可以总结出，ca至少担负著以下几项具体的职责：
（1）验证并标识公开金钥资讯提交认证的实体的身份；
（2）确保用于产生数字证书的非对称金钥对的质量；
（3）保证认证过程和用于签名公开金钥资讯的私有金钥的安全；
（4）确保两个不同的实体未被赋予相同的身份，以便把它们区别开来；
（5）管理包含于公开金钥资讯中的证书材料资讯，例如数字证书序列号、认证机构标识等；
（6）维护并发布撤销证书列表；
（7）指定并检查证书的有效期；
（8）通知在公开金钥资讯中标识的实体，数字证书已经发布；
（9）记录数字证书产生过程的所有步骤。
ca安全认证体系的功能
ca安全认证体系的主要功能包括：签发数字证书、管理下级稽核注册机构、接受下级稽核注册机构的业务申请、维护和管理所有证书目录服务、向金钥管理中心申请金钥、实体鉴别金钥器的管理，等等。
CA金融体系就是金融系统的CA认证.
希望对你有用!

什么是认证体系？

什么是认证？
“认证”一词的英文愿意是一种出具证明档案的行动。ISO/IEC指南2中关于“认证”的定义是：“第三方依据程式对产品、过程或服务符合规定的要求给予书面保证（合格证书）”。
举例来说，对第一方（供方或卖方）生产的产品甲，第二方（需方或买方）无法判定其品质是否合格，而由第三方来判定。第三方既要对第一方负责，又要对第二方负责，不偏不倚，出具的证明要能获得双方的信任，这样的活动就叫做“认证”。
这就是说，第三方的认证活动必须公开、公正、公平，才能有效。这就要求第三方必须有绝对的权力和威信，必须独立于第一方和第二方之外，必须与第一方和第二方没有经济上的利害关系，或者有同等的利害关系，或者有维护双方权益的义务和责任，才能获得双方的充分信任。
以比较常见的是质量认证为例：
质量体系认证是认证的一种型别。质量体系认证具有以下特征：
1、认证的物件是质量体系，更准确地说，是企业质量体系中影响持续按需方的要求提 *** 品或服务的能力的某些要素，即质量保证能力。
2、实行质量体系认证的基础是必须有关于质量体系的国家标准。国际标准化组织1987年3月释出的ISO9000质量管理和质量保证系列标准（2000年修订为第三版），为各国开展质量体系认证提供了基础。申请认证的企业应以系统标准为指导，建立适用的质量体系；认证机构则按系列标准中的质量管理体系标准要求进行检查评定。
3、鉴定质量体系是否符合标准要求的方法是质量体系稽核。由认证机构派注册稽核员对申请企业的质量体系进行检查评定，提交稽核报告，提出稽核结论。
4、证明取得质量体系认证资格的方式是质量体系认证证书和体系认证标记。证书和标记只证明该企业的质量体系符合质量管理体系标准，不证明该企业生产的任何产品符合产品标准。因此，质量体系认证的证书和标记都不能用于产品，不能使人产生产品质量符合标准规定要求的误解。
5、质量体系认证是第三方从事的活动。第三方是指独立于第一方（供方）和第二方（需方）之外的一方，他与第一方和第二方既无行政上的隶属关系，又无经济上的利害关系。强调体系认证要由第三方实施，是为了确保认证活动的公正性。

什么是PICC认证体系？

PICC一般指中国人民财产保险股份有限公司.中国人民财产保险股份有限公司（PICC P&C，简称“中国人保”，下同）是经国务院同意、中国保监会批准，于2003年7月由中国人民保险集团公司发起设立的、亚洲最大的财产保险公司，注册资本122.5598亿元。其前身是1949年10月20日经中国人民银行报政务院财经委员会批准成立的中国人民保险公司。世界500强企业。中国人保财险是中国人民保险集团公司（PICC）旗下标志性主业，在国内外同业市场享有卓著声誉。2003年11月6日，公司在香港联交所成功挂牌上市，成为中国内地大型国有金融企业海外上市“第一股”。凭借综合实力，中国人保财险相继成为北京2008年奥运会、2010年上海世博会保险合作伙伴，为北京奥运会、上海世博会提供全面的保险保障服务。

什么是ISO认证体系？

ISO是国际标准化组织的缩写代号，按照其释出的管理体系标准建立组织的体系档案（包括手册、程式档案、作业档案、记录等一整套档案记录）并实施，之后由独立的第三方认证机构进行稽核验收合格，颁发认证证书就是iso体系认证。常见的有ISO9001质量管理体系、 ISO14001环境管理体系、ISO22000食品安全管理体系等。

企业建立ISO9001质量管理体系的目的为：
l 树立企业形象
通过建立和完善国际质量体系，强化、规范企业管理，在巨集观上树立优良企业形象，为企业发展创造良好的外部环境。建立具有自身特点的企业文化，提高企业形象。
l 增强客户信心，扩大市场分额
向客户和社会证明贵企业具有生产合格优质产品和提供优良服务的能力，让客户满意放心。负责ISO9001质量体系认证的认证机构都是经过国家认可机构认可的权威机构，对企业的品质的稽核是非常严格，因此，对于企业内部来说，可按照经过国际标准化的体系进行管理，真正达到法治化、科学化的要求，极大的提高工作效率和产品/服务的优质率，迅速提高企业的经济效益和社会效益，对于企业外部来说，顾客熟悉企业依据国际标准实施管理，拿到ISO9001品质体系认证证书，并且有认证机构的严格稽核和长期监督，就可以确信该企业是能够稳定的生产合格产品和服务乃至优秀产品的信得过企业，扩大企业的市场占有率。
l 改善现有管理
贵企业的资源（决策、管理、技术、作业层）ISO9001的制度下加以梳理和完善，弥补管理上缺陷和遗漏，建立合理有效的组织机构，明确各部门职权，以提高管理水平。
l 加强质控，降低成本
通过生产服务流程质控点的控制，加强内部整核，降低人为的损失，改善内部管理，减少管理失误，达到降低实物成本机会，提高企业市场竞争力的目的。
l 销售管理
通过合同评审程式和人力资源控制、考核程式，加强对市场及时常销售的管理，提升市场效益。
总之，一个一流的质量管理系统会带给企业更为经济的设计、生产、销售及行政管理，亦即反应在上升的销售量，较高的客户满意度，增加的收益及关键的竞争力之上的全面性提高。

么是ISO9000质量体系认证nbsp;ISO通过它的2856个技术机构开展技术活动。其中技术委员会（简称TC）共185个，分技术委员会（简称SC）共611个，工作组（WG）2022个，特别工作组38个。nbsp;ISO的2856个技术机构技术活动的成果（产品）是“国际标准”。ISO现已制定出国际标准共10300多个，主要涉及各行各业各种产品（包括服务产品、知识产品等）的技术规范。nbsp;ISO制定出来的国际标准除了有规范的名称之外，还有编号，编号的格式是：ISO+标准号+[杠+分标准号]+冒号+释出年号（方括号中的内容可有可无），例如：ISO8402：1987、ISO9000-1：1994等，分别是某一个标准的编号。nbsp;但是，“ISO9000”不是指一个标准，而是一族标准的统称。根据ISO9000-1：1994的定义：“‘ISO9000族’是由ISO/TC176制定的所有国际标准。”nbsp;什么叫TC176呢？TC176即ISO中第176个技术委员会，它成立于1980年，全称是“品质保证技术委员会”，1987年又更名为“品质管理和品质保证技术委员会”。TC176专门负责制定品质管理和品质保证技术的标准。nbsp;TC176最早制定的一个标准是ISO8402：1986，名为《品质-术语》，于1986年6月15日正式释出。1987年3月，ISO又正式释出了ISO9000：1987、ISO9001：1987、ISO9002：1987、ISO9003：1987、ISO9004：1987共5个国际标准，与ISO8402：1986一起统称为”ISO9000系列标准”。nbsp;此后，TC176又于1990年释出了一个标准，1991年释出了三个标准，1992年释出了一个标准，1993年释出了五个标准；1994年没有另外发布标准，但是对前述“ISO9000系列标准”统一作了修改，分别改为ISO8402：1994、ISO9000-1：1994、ISO9001：1994、ISO9002：1994、ISO9003：1994、ISO9004-1：1994，并把TC176制定的标准定义为“ISO9000族”。1995年，TC176又释出了一个标准，编号是ISO10013：1995。至今，ISO9000族一共有17个标准，详见附录A。nbsp;对于上述标准，作为专家应该通晓，作为企业，只需选用如下三个标准之一：nbsp;1.ISO9001：1994《品质体系设计、开发、生产、安装和服务的品质保证模式》；nbsp;2.ISO9002：1994《品质体系生产、安装和服务的品质保证模式》；nbsp;3.ISO9003：1994《品质体系最终检验和试验的品质保证模式》。nbsp;ISO9000标准介绍nbsp;近几年，全国各地正在大力推行IS09000族标准，开展以S09000族标准为基础的质量体系咨询和认证。国务院《质量振兴纲》的布，更引起广大企业和质量工作者对IS09000族标准的关心和重视。nbsp;根据IS09000—1给出的定义，IS09000族是指“由ISO／TC176技术委员会制定的所有国际标准”。那么由ISO／TC176技术委员会制定的标准目前有多?众不一。准确的说法应该是：由ISO／TC176技术委员会制定并已由ISO(国标准化组织)正式颁布的国际标准有19项，ISO／TC176技术委员会正定还未经ISO颁布的国际标准有7项。对ISO已正式颁布的IS09000族19项际标准，我国已全部将其等同转化为我国国家标准。其他还处在标准草案阶段的7项国际标准，我国也正在跟踪研究，一旦正式颁布，我国将及时将其等同转化为国家准。nbsp;正式颁布的IS09000族标准nbsp;(1)GB/T65831994(idtIS08402：1994)质量管理和质量保证术语。nbsp;(2)GB/T19000.1-1994(idtlS09000-1：1994)质量管理和质量保证准第1部分选择和使用指南。nbsp;(3)GB/19000.2-1994(idtIS09000-2：1993)质量管理和质量保证标准第二部分GB/T19001、GB/T19002和GB／T19003实施通用指南。nbsp;(4)GB/T19000．3—1994(idtlS09000-3：1994)质量管理和质量保证标准第3部分GB/T19001在软体开发、供应和维护中的使用

什么是ISTQB Certified Tester认证体系？

大致是这样的：
一、关于国际软体测试工程师认证专案　ISTQB (International Sofare Testing Qualification Board) 国际软体测试资质认证委员会是国际唯一全面权威的软体测试资质认证机构，主要负责制订和推广国际通用资质认证框架，即“国际软体测试资质认证委员会推广的软体测试工程师认证”( ISTQB Certified Tester ) 专案。该专案由ISTQB授权国家的分支机构组织本国的软体测试工程师的认证，并接受ISTQB质量监控，合格后颁发全球通用的软体测试工程师资格证书。 ISTQB现有包括美国、德国、英国、法国、日本等在内的近40多个成员国
ISTQB作为一个开放性的组织，诚挚欢迎企业和个人成为其成员来共同推广国际通用的软体测试资质认证标准，规范软体测试体系。ISTQB规范中国软体测试行业，提高中国软体测试行业的水平，通过市场调研、资讯交流、咨询培训、评估认证、智慧财产权保护等方面的工作，推动中国软体测试行业的发展，做好为ISTQB会员的服务工作，面向全行业，发挥 *** 与企事业单位之间的纽带和桥梁作用，为中国的测试行业提供一个新测试方法、新技术的研究和推广的交流平台，加强国际交流与合作，积极推进国际通用软体培训和认证体系，建成规范的高阶培训和认证平台，推动国际软体测试人才流动和技术交流，使中国软体 测试行业与国际接轨。
课程内容
课程内容主要包括：软体测试基础、测试与软体开发生命周期、静态测试技术、测试设计技术、单元测试、整合测试、系统测试、软体测试管理、功能（黑盒）测试工具、效能测试工具、白盒测试工具、实际案例分析等。
四：ISTQB认证体系介绍
ISTQB认证体系介绍：
·基础级
·1个考试模组 （基于24课时的专业培训基础）
·软体测试术语和基本原理，测试技术和常用工具。
·高阶
·通过基础级认证 + 3年以上软体测试企业工作经验
·3个模组考试
·软体测试技术纵深与拓展，包括测试管理,高阶测试分析，高阶测试技术三个模组。培训者可根据需要，兴趣或者职业发展方向选择一个或多个模组。2014年以后，必须通过三个模组才算通过高阶。
·专家级
·通过2/3以上高阶认证模组 + 5年以上软体测试企业工作经验
·软体测试专家领域纵深与拓展，如
Test Management
Security Test
Test Process Improvement

什么是ISO9001：2000认证体系？

我是学这个的
你说的ISO9001：2000是《质量管理体系 要求》，它属于ISO9000族。2000指的是2000年版。
ISO9000族可以帮助组织建立、实施并有效的执行质量管理体系，它不受具体行业和经济部门的限制，可广泛适用于各种型别和规模的组织。
质量管理的原则是：以客户为焦点、领导作用、全员参与、过程方法、管理的系统方法、持续改进、基于事实的决策方法、与供方互利的关系。这八大原则，在进行认证的时候要时刻贯彻这八大原则。
我在这里完全给你讲清楚是不太可能的，你还要多看看这方面的书。

什么是iso90000认证体系

ISO9000是指由国际标准化组织（ISO）所属的质量管理和质量保证技术委员会ISO/TC176工作委员会制定并颁布的关于质量管理体系的族标准的统称。
ISO9000族标准中有用于指导各国企业建立质量管理体系并获取外部认证的标准（ISO9001：2000），有用于指导企业自身强化质量管理的标准（ISO9004），有用于统一各国质量术语的标准（ISO8402），也有用于规范质量稽核的标准（ISO10011）等等，所有这些标准构成了一个相对严密的标准系列，对质量管理界带来深远的意义。

linux 搭建CA服务器 http+ssl mail+ssl 扫描与抓包

搭建CA服务器
CA服务是给服务器发放数字证书，被通信双方信任，独立的第三方机构

国内常见的CA机构
中国金融认证中心(CFCA)
中国电信安全认证中心(CTCA)
北京数字证书认证中心(BJCA)

PKI公钥基础设施
一套标准的密钥管理平台
通过公钥加密，数字证书技术确保信息安全

PKI体系的基本组成
权威认证机构(CA)
数字证书库，密钥备份及恢复系统
证书作废系统，应用接口

——————————————————————————————————————————————
OpenSSL加密工具

实现ssl/tls协议及各种加密应用
创建并管理私钥，公钥，证书，证书服务
使用公钥加解密
使用各种算法进行加解密
计算信息摘要

对称加密：
enc 算法 -e -in 输入文件 -out 输出文件（-e加密）
enc 算法 -d -in 输入文件 -out 输出文件（-d解密）

实例：
在ceshiji（192.168.4.10）上部署ca服务器
思路：
配置ca签署环境
为ca服务器生成私钥
为ca服务器创建根证书
共享根证书
[[email protected] pki]# ls
CA ca-trust consumer entitlement java nssdb product product-default rpm-gpg rsyslog tls
[[email protected] ~]# vim /etc/pki/tls/openssl.cnf（配置ca签署环境）
40 [ CA_default ]
42 dir = /etc/pki/CA（ca签署工作目录）
43 certs = $dir/certs（发出去的证书存放处）
44 crl_dir = $dir/crl
45 database = $dir/index.txt（证书索引文件，默认在目录下没有）
50 certificate = $dir/my-ca.crt（根证书存放位置及名字，名字自定义，）
51 serial = $dir/serial（证书编号文件，默认在目录下没有）
55 private_key = $dir/private/ca.key（私钥存放处和私钥名字，名字可以自定义）
84 [ policy_match ]（申请的证书请求是否一样，match必须，supplied可选）
85 countryName = match（国家）
86 stateOrProvinceName = match（省/州）
87 organizationName = match（公司名）
88 organizationalUnitName = optional
89 commonName = supplied
128 [ req_distinguished_name ]
129 countryName = Country Name (2 letter code)
130 countryName_default = CN（国家）
131 countryName_min = 2
132 countryName_max = 2
135 stateOrProvinceName_default = beijing（省份）
138 localityName_default = beijing（市）
141 0.organizationName_default = hydra（单位）
148 organizationalUnitName_default = ope（部门，可写可不写）
[[email protected] CA]# touch index.txt（创建证书索引文件，发出去过哪些证书）
[[email protected] CA]# echo 01 > serial（创建发放证书的编号文件）

[[email protected] ~]# cd /etc/pki/CA/private/（进入目录）
[[email protected] private]# man openssl（查看帮助）
[[email protected] private]# openssl genrsa -des3 2048 > ca.key（为CA服务器生成私钥，私钥名字要和配置文件里的一样）
Enter pass phrase:（输入保护私钥的密码）
Verifying - Enter pass phrase:（确认密码）
[[email protected] private]# chmod 600 ca.key （安全起见。设置权限）

[[email protected] ]# cd /etc/pki/CA/（进入CA目录）
[[email protected] CA]# openssl req -new -x509 -key /etc/pki/CA/private/ca.key -days 365 > my-ca.crt（创建根证书，名字也要和配置文件里的一样）
Enter pass phrase for /etc/pki/CA/private/ca.key:（输入私钥密码）
Common Name (eg, your name or your server‘s hostname) []:www.Anonymous.net（ca名）
[[email protected] CA]# ls
certs crl index.txt my-ca.crt newcerts private serial

[[email protected] ~]# yum -y install httpd
[[email protected] ~]# mkdir /var/www/html/ca
[[email protected] ~]# cp /etc/pki/CA/my-ca.crt /var/www/html/ca/（共享根证书）
[[email protected] ~]# /etc/init.d/httpd start ; chkconfig httpd on
[[email protected] ~]# firefox http://192.168.4.10/ca（客户端访问测试）

 

实例：
配置http+ssl
在网站服务器67上配置https默认监听443端口，实现数据加密传输

网站服务器配置：
创建私钥
使用私钥生成证书请求文件，并把证书请求文件上传给ca服务器
[[email protected] ~]# yum -y install httpd
[[email protected] ~]# echo web67 > /var/www/html/test.html
[[email protected] ~]# echo hydra > /var/www/html/index.html
[[email protected] ~]# /etc/init.d/httpd start ; chkconfig on
[[email protected] ~]# cd /etc/pki/tls/private/
[[email protected] private]# openssl genrsa 2048 > www.key（生成私钥，不需要输入密码）
[[email protected] private]# openssl req -new -key www.key > /root/www.csr（生成证书）
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:hydra
Organizational Unit Name (eg, section) []:ope
Common Name (eg, your name or your server‘s hostname) []:www.Anonymous.net
[[email protected] ~]# scp www.csr 192.168.4.10:/root/（上传证书给ca服务器）

ca服务器配置：
签发数字证书，并把证书下发给网站服务器
[[email protected] ~]# cat www.csr（查看证书请求文件）
[[email protected] certs]# cd /etc/pki/CA/certs/
[[email protected] certs]# openssl ca -in /root/www.csr > www.crt（签收证书）
[[email protected] certs]# scp www.crt 192.168.4.67:/root/（下发证书）

网站服务器配置：
配置网站服务在运行时加载自己的私钥和数字证书，并重启网站服务
[[email protected] ~]# yum list | grep -i ssl
mod_ssl（需要安装模块）
[[email protected] ~]# yum -y install mod_ssl
[[email protected] ~]# grep -v -E ‘^#|^$‘ /etc/httpd/conf.d/ssl.conf（查看文件）
LoadModule ssl_module modules/mod_ssl.so（实现加密传输加载的模块）
Listen 443（监听443端口）
<VirtualHost _default_:443>（虚拟主机）
SSLEngine on（on启用加密功能）
SSLCertificateFile /etc/pki/tls/certs/localhost.crt（证书文件路径）
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key（私钥文件路径）
[[email protected] ~]# mv www.crt /etc/pki/tls/certs/（把证书移动到加载目录下）
[[email protected] ~]# vim /etc/httpd/conf.d/ssl.conf（编辑文件）
SSLCertificateFile /etc/pki/tls/certs/www.crt（改证书名字）
SSLCertificateKeyFile /etc/pki/tls/private/www.key（改私钥名字）
[[email protected] ~]# /etc/init.d/httpd restart
[[email protected] ~]# netstat -utnalp | grep http（监听80和443端口）
tcp 0 0 :::80 :::* LISTEN 2600/httpd
tcp 0 0 :::443 :::* LISTEN 2600/httpd

配置网站服务器接收到访问80端口的请求时，转发到443端口
[[email protected] ~]# vim /etc/httpd/conf/httpd.conf
<IfModule ssl_module>（地址重写模块，默认没有，要添加）
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
RewriteEngine on（启用地址重写）
RewriteCond %{SERVER_ROOT} !^443$（规则）
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R]（跳转）
[[email protected] ~]# /etc/init.d/httpd restart
客户端测试：
[[email protected] ~]# firefox http://192.168.4.10/ca（下载根证书）
[[email protected] ~]# firefox http://192.168.4.67/

 

实例：
配置mail+ssl
需安装postfix、dovecot、cyrus-sasl
相关协议及端口：
smtp 25 +tls/ssl
pop3 110
pop3S 995
imap 143
imaps 993
邮件服务器配置
[[email protected] ~]# cd /etc/pki/tls/private/
[[email protected] private]# openssl genrsa 2048 > mail.key（生成私钥，不需要输入密码）
[[email protected] private]# openssl req -new -key mail.key > /root/mail.csr（生成证书）
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:hydra
Organizational Unit Name (eg, section) []:ope
Common Name (eg, your name or your server‘s hostname) []:www.mail.net
[[email protected] ~]# scp mail.csr 192.168.4.10:/root/（上传证书给ca服务器）

ca服务器配置：
签发数字证书，并把证书下发给网站服务器
[[email protected] ~]# cat mail..csr（查看证书请求文件）
[[email protected] certs]# cd /etc/pki/CA/certs/
[[email protected] certs]# openssl ca -in /root/mail.csr > mail.crt（签收证书）
[[email protected] certs]# scp mail.crt 192.168.4.12:/root/（下发证书）

邮件服务器配置
[[email protected] ~]# mv mail.csr /etc/pki/tls/certs/（把证书文件移动到目录下）
配置加密发送邮件/etc/init.d/postfix
[[email protected] ~]# yum -y install cyrus-sasl-plain cyrus-sasl cyrus-sasl-lib（需要服务）
[[email protected] ~]# /etc/init.d/saslauthd start（开启服务）
[[email protected] ~]# vim /etc/postfix/main.cf
smtpd_use_tls = yes（开启tls加密，默认没有。要手动写）
smtpd_tls_key_file = /etc/pki/tls/private/mail.key（私钥目录）
smtpd_tls_cert_file = /etc/pki/tls/certs/mail.crt（证书目录）
[[email protected] ~]# /etc/init.d/postfix restart

配置加密接收邮件/etc/init.d/dovecot
[[email protected] ~]# yum -y install dovecot（需安装服务）
[[email protected] ~]# cd /etc/dovecot/conf.d/
[[email protected] conf.d]# vim 10-ssl.conf（更改配置文件）
[[email protected] ~]# cd /etc/pki/tls/certs/
[[email protected] certs]# cp mail.crt /etc/pki/dovecot/certs（拷贝证书）
[[email protected] ~]# cd /etc/pki/tls/private/
[[email protected] private]# cp mail.key /etc/pki/dovecot/private（拷贝私钥）
ssl = yes（去掉注释）
ssl_cert = </etc/pki/dovecot/certs/mail.crt（证书名）
ssl_key = </etc/pki/dovecot/private/mail.key（私钥名）
[[email protected] ~]# /etc/init.d/dovecot restart（查看端口）
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 4608/dovecot
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 4608/dovecot

客户端测试（在邮件软件里设置收发邮件时使用的协议）

—————————————————————————————————————————————————————————————————————

扫描与抓包
为什么要扫描？
以获取一些公开数据/非公开数据信息为目的
检测潜在的风险
查找可攻击目标
收集设备/主机/系统/软件信息
发现可利用的安全漏洞

典型的扫描方式
Scan，主动探测
Sniff，被动监听/嗅探
Capture，数据包获取（抓包）

常见的安全分析工具
扫描器：nmap
嗅探器：ettercap
协议分析：tcpdump，wireshark

nmap简介
一款强大的网络探测工具，支持多种探测技术
ping扫描
多端口扫描
tcp/ip指纹效验
基本用法：
nmap [扫描类型] [选项] <扫描目标>
常用的扫描类型
-sS：tcp syn扫描（半开）
-sT：tcp 连接扫描（全开）
-sU：udp扫描
-sP：icmp扫描
-A：目标系统全面分析（是一个复合选项，相当于-O os检测，-sV 版本检测，-sC 脚本检测 traceroute跟踪）

当要检测的web服务器多，可以写成脚本
并把down掉的服务器发邮件给管理员
#!/bin/bash
dtime=`date +%F-%T`
for ip in 67 10 12 158
do
status=`nmap -p 80 192.168.4.$ip | grep open`
if [ ! -z "$status" ] ;then
echo "192.168.4.$ip web-server starting"
else
echo "192.168.4.$ip dtime web-server down"
echo "192.168.4.$ip web-server down" > /tmp/ip.txt
mail -s "192.168.4.$ip web-server down" root < /tmp/ip.txt
fi
done

检测主机在不在线
#!/bin/bash
x=0
for((host=1;host<=254;host++))
do
nmap -sP 192.168.4.$host | grep -q ‘is up‘
if [ $? -eq 0 ] ;then
echo "host 192.168.4.$host is on line"
else
x=`expr $x + 1`
fi
done
echo "no line $x "

tcpdump抓包工具
一款提取tcp数据包的命令行工具
基本用法：
tcpdump [选项] [过滤条件]
常见监控选项
-i：指定监控的网络接口
-A：转换为ACSⅡ码，以方便阅读
-w：将数据包信息保存到指定文件
-r：从指定文件读取数据包信息
过滤条件
类型：host，net，port，porteange
方向：src，dst
协议：tcp，udp，ip，wlan，arp
组合：and，or，not
示例：
[[email protected] ~]# tcpdump -A -w /tmp/mail.cap tcp port 110（抓取tcp协议上端口110的包，保存到tmp下）
[[email protected] ~]# tcpdump -r /tmp/mail.cap（读取抓包信息）

wireshark协议分析器
一款网络协议分析软件，前身是著名的etherreal以太网分析器
rhel6光盘中的俩个包
wireshark，wireshark-gnome