证书服务
证书作用
加密数据
身份识别
密钥(加密)基本概念
数据传输:使用加密的方法将数据的内容加密,或者用于身份识别
对称加密:发送和接收方必须使用相同的方式对数据的内容进行加密和解密,和身份识别-安全性一般-效率较高
非对称加密:发送方和接收方使用一对不相同的方式对数据进行加密和解密,身份识别-安全性较好-效率较低
PKI公共密钥基础结构
基本概念:
根据对象的信息(名称、IP地址,等信息)通过指定的算法(RSA)计算出一对密钥,该密钥:
两个密钥的内容完全不同
只能够相互加密解密
很难根据一个密钥推算出另外一个密钥
根据使用方式定义出:公钥:信息标识,默认任何对象可以持有
私钥:只有指定对象拥有,需要妥善保存不能泄露
数据加密
发送方使用接收方的公钥,将数据加密,将加密过的数据发送给接收方
接收方接收数据后,使用自己的私钥将数据解密
数字签名
发送方
将准备发送的原始数据,通过指定的算法计算出(SHA,MD5),摘要值
发送方使用自己的私钥将原始数据的摘要值进行加密
将原始数据和发送方的公钥和被自己私钥加密过的摘要值发送给接收方
接收方
接收到原始数据和发送方的公钥后,以及被发送方加密的摘要值后
使用发送方的公钥,解密接收到的摘要值
解密成功-该数据为确认为发送方发出
将接收到的原始数据使用和发送方相同的算法计算出摘要值
将计算出的摘要值和解密后的摘要值进行比对
比对成功:原始数据的完整性
混合加密
密钥的来源的安全性
证书
作为密钥的载体(x.509)
标识密钥的信息:使用者,证书来源,其他信息
来源:
自签名:使用者自己给自己颁发证书
证书颁发机构(CA):由证书颁发机构颁发
证书颁发机构的作用
证书颁发服务:为自己生成一对密钥,将公钥和颁发机构(服务)信息,生成一个证书(CA 根证书)
CA根证书:用来标识该机构的信息和状态
当客户端接收到其他服务发送的证书后,会将该证书的颁发者和本地的“受信任的证书颁发机构”列表进行比对,该证书的颁发者在本地受信列表中,即认为该证书的来源是可信的,可以使用该证书中的公钥进行安全数据传输
客户端的受信列表如何更新
internet自动更新:由windows 系统通过自动更新,更新客户端的受信列表(易用和高成本)
移动端和苹果系统:
移动端:证书的安全级别较低-不验证证书来源(接收所有ssl证书)
苹果系统:受信列表-
域更新:企业部署和AD集成的AD证书服务(AD CS),该证书服务(CA)和AD集成后,所有加入AD域的计算机会自动更新受信列表,自动添加该证书服务的CA根证书
手动更新:手动将证书服务的CA根证书导入到本地受信列表
证书的使用过程
证书服务(证书颁发机构CA)
为自己颁发证书
为其他服务&对象颁发证书
证书维护
证书吊销
公共CA:部署在ineternet环境中,为公网的服务提供颁发证书(需要申请成本),尽量选择在客户端受信列表中的CA机构
内部CA
独立CA:工作组状态,部署证书服务(CA)
AD证书服务(AD CS)
自动颁发证书
丰富的证书模板
可定义的证书吊销列表的路径
通过AD的组策略更新客户端的内部CA在客户端的受信列表中
根CA和子CA:CA的层次结构的需求
根CA:组织中唯一,为其他子CA颁发和维护证书,当整个CA部署完成后,可离线
子CA:为其他服务&对象颁发证书,证书模板,吊销证书
最佳实践:
中小企业:独立部署一台服务器为CA服务器-必须定期备份(AD集成),实际环境中,不推荐将CA服务部署在DC上
中大型企业:部署一个独立的根CA服务器(离线需求-工作组),根据业务需求&高可用&地理位置,部署其他的子CA服务器
CA根证书的有效期:10年以上
基本配置证书服务
简单申请证书
IIS配置
客户端访问Https错误状态
高级配置证书服务
证书服务
自定义证书模板
证书吊销列表的颁发路径(CDP)
申请和管理证书
客户端-MMC控制台
申请
导出包含私钥的证书
导入证书