部署PKI与证书服务
-
单词:
PKI:公钥基础设施
CA:认证机构
RA:注册机构
IPSec:IP安全
SSL:安全套接字层 -
PKI:公钥基础设施(Public Key Infrastructure)
PKI由公钥加密技术、数字证书、CA、RA等共同组成。 -
PKI体系能够实现的功能/作用:
1>身份验证
2>数据完整性
3>数据机密性
4>操作的不可否认性 -
公钥和私钥的关系:
1>公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密解密。
2>不能根据一个密钥来推算出另一个密钥。
3>公钥对外公开,私钥只有私钥的持有人才知道。
4>私钥应该由密钥的持有人妥善保管。 -
数据加密能保证所发送数据的机密性,却不能保证数据的完整性、身份的验证和不可否认性。
-
数字加密过程:
-
数字签名的功能:
1>身份验证
2>数据的完整性
3>操作的不可否认性 -
数字签名的过程:
-
X.509:
由ITU-T(国际电信联盟)制定的数字证书标准 -
X.509作用:
规定了实体鉴别过程中广泛适用的证书和数据接口 -
SSL由Netscape(网景公司)开发,用以保障数据在Internet上安全地传输。
-
SSL协议可分为两层:
1>SSL记录协议(SSL Record Protocol)
2>SSL握手协议(SSL Handshake Protocol) -
SSL协议提供的服务:
1>认证用户和服务器
2>加密数据
3>维护数据的完整性 -
HTTPS由Netscape(网景公司)开发,用于对数据进行加密和解密,并返回网络上传回结果。
-
IPSec协议是一个应用广泛、开放的VPN安全协议,目前已经成为最流行的VPN解决方案。
-
证书颁发机构:
证书颁发机构也称为CA(Certficate Authority,数字证书认证中心),是PKI应用中最权威的、可信任的、公正的第三方机构,也是电子交易中信赖的基础。 -
什么是证书:
数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA签发的证书。 -
数字证书包括以下信息:
使用者的公钥
使用者的表示信息
有效期
颁发者的表示信息
颁发者的数字签名 -
证书的作用:
保证密钥的合法性、遵循X.509标准。 -
CA的作用:
1>处理证书申请
2>鉴定申请者是否有资格接收证书
3>发放证书
4>更新证书
5>接收最终用户数字证书的查询、撤销
6>产生和发布证书吊销列表
7>数字证书的归档
8>密钥归档
9>历史数据归档 -
证书颁发过程:
Anything is possible, never say forever. 凡事都有可能,永远别说永远