百度百科: PKI是Public KeyInfrastructure的首字母缩写,翻译过来就是公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 名称:公钥基础设施
作用:通过加密技术和数字签名保证信息的安全
组成:公钥加密技术、数字证书、CA、RA
信息安全三要素 机密性 完整性 身份验证/操作的不可否认性
哪些IT领域用到PKI: 1)SSL/HTTPS 2)IPsecVPN 3)部分远程访问VPN
作用:实现对信息加密、数字签名等安全保障 加密算法:
对称加密算法 x+5=y(对称加密算法) x是原数据/原文 y是密文 5是key/密钥加解密的密钥一致!
如:DES 3DES AES
非对称加密算法通信双方各自产生一对公私钥。 双方各自交换公钥 公钥和私钥为互相加解密关系! 公私钥不可互相逆推!
如:RSA DH
HASH算法HASH值可逆么?不可逆! HASH值=摘要
如:MD5 SHA (验证完整性)
数字签名:用自己的私钥对摘要加密得出的密文就是数字签名
为了安全,已经采用非对称加密的数据—》hash算法加密—》得到摘要(小字节、无法逆转)----》私钥再次非对称加密摘要—》得到一个可由接收人解密的内容----》接收人解开之后得到hash值
证书用于保证公密的合法性
证书格式遵循X.509标准
数字证书包含信息:
使用者的公钥值使用者标识信息(如名称和电子邮件地址)有效期(证书的有效时间)颁发者标识信息颁发者的数字签名数字证书由权威公正的第三方机构即CA签发
CA是权威证书颁发机构,为了公正“公钥”的合法性! 机密性:使用对方的公钥加密! 身份验证/数字签名:使用自己的私钥!
小结:
数字签名好比信书后面的本人签字 证书好比权威第三方机构颁发的印章
4.1 实验环境:
win2008作为https服务器:10.1.1.2/24win7作为客户机:10.1.1.1/24桥接到虚拟网络vmenet14.2 实验步骤:
配置服务器IP地址10.1.1.2/24。
安装IIS服务 并建立一个站点。(必须使用域名)并配置DNS服务器,并初步验证访问http://www.flower.com一下。
安装CA组件
打开IIS,先生成证书申请文件
向CA申请证书: 打开网页http://10.1.1.2/certsrv并向CA发送web服务器申请文件
CA颁发证书
在web服务器上下载并完成安装
在web服务器上启用SSL443
要求用户必须使用443访问,不能使用80访问!
参考:B站千峰
