PKI
PKI 概述
公钥基础设施(Public Key Infrastructure):通过加密技术和数字签名保证信息的安全
组成:公钥加密技术,数字证书,CA(Certificate Authority),RA
信息安全三要素
- 机密性
- 完整性
- 身份认证/操作不可否认
PKI使用
- SSL/HTTPS
- IPsecVPN
- 部分远程访问VPN
公钥加密技术
作用:实现对信息加密、签名等
加密算法
- 对称加密算法----加解密密钥一致
- 非对称加密算法
- 通信双方各自产生一对公私钥
- 双方交换公钥
- 公私钥实现互相加解密
- 公私钥不可互相推算
数字签名
使用自己的私钥对摘要进行加密得出的密文即数字签名
证书
保证公钥的合法性
证书格式遵循X.509标准
数字证书包含
使用者的公钥值
使用者标识信息(名称和电子邮件)
有效期(证书有效期限)
颁发者标识信息
颁发者数字签名
数字证书由权威公正的第三方机构即CA签发
部署HTTPS服务器
CA是权威证书颁发机构,为了公正“公钥”的合法性!
机密性:使用对方的公钥加密
身份验证/数字签名:使用自己的私钥!
- 添安装IIS服务
- 安装IIS服务后,添加一个网站
- 安装DNS服务
- 安装DNS服务后,添加A记录
- 安装CA
- 右键点击“我的电脑”->“管理”->“角色”,点击“添加角色”
- 点击下一步
- 选择证书颁发机构和证书颁发机构Web注册两项
- 因没有安装域,此处选择独立
- 第一次安装,选择根CA
- 新建私钥
- 使用默认,密钥长度越大,速度越慢
- 输入CA机构的名称
设置CA机构本身证书的有效期 - CA信息存放路径
- 选择角色服务
- 开始->管理工具->打开证书颁发机构
- 证书颁发机构页面
- 为WEB服务器创建服务器证书
- 在服务器证书中右键点击,选择“创建证书申请”
- 输入基本信息
- 选择密钥长度
- 将证书申请文件保存至本地文件
- 在CA证书服务安装时,会安装证书的Web程序,可以通过网页访问,进行证书申请
- 点击高级证书申请,上面的两项是为客户端机器申请证书使用
- 选择下面一项:使用base64…项
- 将证书申请时生成的txt文件内容,完全拷贝,粘贴至网页文本框,点击“提交”
- 证书生成
- 在证书颁发机构->挂起的申请中,执行颁发,进行证书颁发
- 证书颁发完成后,可以通过网页,下载证书
- 在IIS服务器上完成证书的申请
- 选择刚下载的证书文件
- 为网站添加https绑定
- 修改网站SSL设置项
- 选择要求SSL后,用户通过浏览器再访问时,必须使用https
- 通过网页访问https网站,在其他虚拟机上访问时,需要配置在同一个网络,并且DNS指向安装DNS服务的主机,完成域名解析
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
