1、PKI概述

名称:公钥基础设施 Public Key Infrastructure
作用:通过加密技术和签名技术保证信息的安全
组成:公钥加密技术、数字证书、CA、RA

2、信息安全三要素

机密性、完整性、可用性

3、那些IT领域用到PKI

  1. SSL/HTTPS
  2. IPsecVPN

  3. 部分远程访问VPN

    4、公钥加密技术

    作用:实现信息加密、数字签名等安全保障
    加密算法: (1)对称加密算法 DES 3DES AES;(2)非对称加密算法 RSA DH;(3)HASH算法(验证完整性) MD5 SHA系列,HASH算法不可逆。
    数字签名:用自己的私钥对摘要加密得出的密文就是数字签名

    5、证书

    证书用于保证公钥的合法性。
    证书格式遵循X.509标准。
    数字证书包含的信息:

  4. 使用者的公钥值

  5. 使用者标识信息
  6. 有效期(证书的有效期)
  7. 颁发者的标识信息
  8. 颁发者的数字签名

数字证书由权威公正的第三方机构即CA签发,CA是权威证书案发机构,为了公正“公钥”的合法性。

6、实验

WinServer2008部署为HTTPS服务器(SSL服务器):

  1. 配置IP:10.1.1.2/24
  2. 计算机右键——管理——角色——添加角色——在服务器角色中选择Web服务器IIS——选择应用程序开发安装(其余选项不动)

安装成功之后在开始——管理工具中找到Internet信息服务(IIS)管理器,在“网站”右击添加网站,其中物理路径为提前建好的网站的文件夹:
image.png
点击确定即发布好一个网站,同时在该网页中找到“默认网页”为网站指定默认打开的网页:
image.png

  1. 同时还要建立DNS服务器,计算机右键——管理——角色——添加角色——在服务器角色中选择DNS服务器安装,添加成之后在开始——管理工具中找到DNS管理器,在正向查找区域中右击新建名称为“fx.com”的区域,同时在“fx.com”区域中新建主机

image.png
建好之后如图所示
image.png

  1. 客户机Win7配置IP:10.1.1.3/24,并将DNS服务器指向10.1.1.2,在浏览器中访问www.fx.com,则能够打开发布的网站首页

链接image.png

  1. 将服务器配置成CA证书服务器,计算机右键——管理——角色——添加角色——在服务器角色中选择active directory证书服务,在选择角色服务时选择证书颁发机构Web注册,

image.png
在弹出来的对话框中选择添加所需的角色服务
image.png
在AD CS的基本保持默认,如果自身有要求可按照实际情况进行设置:
image.png
加密算法的长度越长,越安全,生成速度也就越慢
image.png
CA自身的有效期,如果CA过期,则之前颁发的证书也都过期了:
image.png
image.png
安装成功之后在开始——管理工具中能找到证书颁发机构
image.png
同时CA安装成功之后,会新建很多默认的网站:
image.png
谁要提供安全服务,谁就需要去申请证书,IIS服务器要提供安全服务,则IIS服务器就需要去申请证书
在IIS管理器中,选中网站服务器(是对网站服务器申请,而非网站),找到证书服务器:
image.png
首先申请证书,打开证书服务器(因为证书服务器和IIS服务器是同一台服务器,相当于自己给自己颁发证书,实际会将其部署为两台服务器)
image.pngimage.pngimage.png
为证书制定一个存放位置:
image.png
此时桌面上会有一个IIS-SHENQING的文件,其中包含自己的公钥:
image.png
在浏览器中输入地址10.1.1.2/certsrv:
image.png
申请证书——高级证书申请——使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请,将桌面上的IIS-SHENQING的内容复制到申请文本框中,点击提交
image.png
此时在证书颁发机构中——挂起的申请中,刷新就能看到申请的证书,右击所有任务——颁发,则为IIS服务器颁发