一、PKI概述

PKI:公钥基础设施,通过公钥技术和数字签名来确保信息安全
组件:公钥加密技术、数字证书、CA、RA
PKI功能: 身份验证,数据完整性,数据机密性,操作的不可否认性

二、公钥加密技术

有两个秘钥:公钥、私钥
公钥和私钥成对生成,相互加密解密; 公钥对外公开,私钥只有自己才有(私钥要好好保存)

1、数据加密(公钥加密——私钥解密)

发送方使用接收方的公钥加密 接收方使用自己的私钥解密 作用是 保证数据的机密性

2、数字签名(私钥加密——公钥解密)

发送方用哈希(hash)算法对原始数据计算得到一个摘要值
发送方用自己的私钥加密摘要值
发送方将加密的摘要值和数据发给接收方
接收方用发送方的公钥验证加密后的摘要值
作用是保证数据的完整性、身份验证、不可否认

三、证书概述

1、证书

用于保证秘钥的合法性
主体:用户、计算机、服务
遵循X.509标准

2、证书包含信息

使用者公钥
使用者标识信息
有效期
颁发者标示信息
颁发者数字签名

3、CA

证书颁发机构
核心功能:颁发和管理数字证书
企业CA
需要域环境
独立CA
工作组环境和域环境都可以

四、证书的颁发和应用

1、配置证书服务器

添加 Active Directory 证书服务角色,服务选择“证书颁发机构”和“证书颁发机构web注册”
1.jpg
2.jpg
角色安装完成 点击 “配置目标服务器上的Active Directory 证书服务”
3.jpg
角色服务 选 “选择证书颁发机构”和”证书颁发机构web注册”
4.jpg

2、网站服务器申请证书

1.创建申请证书文件

IIS控制台——服务器证书
7.jpg
创建证书申请,为证书申请指定文件名
8.jpg
9.jpg

11.jpg

2.浏览器申请证书

输入http://证书服务器IP/certsrv,选择申请证书
14.jpg
选择高级申请
15.jpg
选择base64编码
16.jpg
粘贴记事本的内容,提交
17.jpg

3、证书服务器颁发证书

证书颁发机构——挂起的申请——在申请上 右键所有任务——颁发
18.jpg

4、网站服务器使用证书

1.浏览器下载证书

输入http://证书服务器IP/certsrv ,查看挂起的证书申请状态
19.jpg
选base64,下载证书或证书链
20.jpg

2.完成申请

IIS服务——服务器证书——完成证书申请
24.jpg
选择上一步下载的证书文件,写名
25.jpg

3.使用证书

IIS服务——自己的网站上——右键编辑绑定——添加:https 、SSL证书
26.jpgimage.png