部署 PKI 和证书服务

一.什么是 PKI/CA

1.PKI/CA

从总体构架来看， PKI/CA 主要由最终用户、认证中心和注册机构来组成。

2.PKI (Public key infrastructure) 公钥基础设施

通过使用公钥技术和数字签名来确保信息安全，并负责验证数字证书持有者身份的一种技术

PKI 由 公钥加密技术 , 数字证书, 认证机构, CA 和注册机构 RA 组成.

①数字证书 :用于用户的身份验证
②CA  :是PKI 的核心，负责管理PKI 中所有的用户
③RA : 接受用户的请求，负责将用户的有关申请信息 和存档备案

二.PKI 体系实现的主要功能

1 身份验证 确认用户的身份标识

2 数据完整性 确保数据在传输过程中没有被修改

3 数据机密性 防止非授权用户获取数据

4 操作的不可否性 确保用户不能冒充其他用户的身份

三.公钥加密技术

公钥加密，也叫非对称（密钥）加密（public key encryption），属于通信科技下的网络安全二级学科，指的是由对应的一对唯一性密钥（即 公开密钥 和私有密钥）组成的加密方法。 它解决了密钥的发布和管理问题，是商业密码的核心。

1 公钥和私钥是成对生成的， 两个密钥互不相同， 可相互加密解密

2 不能工具一个密钥来推算出另一个密钥

3 公钥对外公开 私钥只有私钥的持有人知道

4 私钥应该由密钥的持有人妥善保管

数字加密， 公钥加密 私钥解密， 实现数据的机密性

数字签名， 私钥加密 公钥解密， 保证数据的完整性和操作的不可否认性及身份验证

X.509 ITU-T 制定的数字证书标准， 为给公用网络用户提供目录信息服务

   是安全认证系统的核心规定了实体鉴别过程中广泛使用的证书和数据接口
   是基于公开密钥体制建立， 博阿寒用户名和使用者公钥  和其他相关信息

数字签名

四.PKI 协议

PKI 是 Public Key Infrastructure 的缩写，其主要功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径，并利用数字证书及相关的各种服务（证书发布，黑名单发布，时间戳服务等）实现通信中各实体的 身份认证 、完整性、抗抵赖性和保密性。

1. SSL 网景公司开发，保障再 internet 上数据的安全传输 位于 TCP/IP 协议和应用层协议之间

2. 包括 SSL 记录协议 建立再可靠的传输协议 tcp 之上 为高层协议提供数据封装 压缩 加密等功能支持

3. SSL 握手协议 建立再 SSL 协议之上，用来对通信双方进行身份认证协商 加密算法 、交换加密 密钥 等。

4. ssl 的主要服务： 认证用户和服务器 机密数据 维护数据完整性

HTTPS 网景公司开发，用于对网页数据的加密和解密

IPSec 开放的 vpn 安全协议，最流行的 vpn 解决方案 包括 AH 验证头和 ESP 安全负载封装

五.证书的颁发机构

1.证书颁发机构

PKI 的应用权威机构 第三方权威机构 负责产生和分配管理数字证书

数字证书是一种权威的电子文档， 包含的信息有 使用者的公钥 使用者的标识信息 有效期 颁发者的标识信息 和颁发者的数字签名

2.CA 的主要功能

处理证书申请 证书的颁发 更新 接受用户查询 证书的归档 密钥的归档等

3,证书的颁发过程：

证书的申请

RA 确认用户身份

证书策略处理

RA 提交用户申请到 CA

CA 用自己的私钥和用户的公钥签名

CA 批准证书传给 RA

RA 将电子证书传送给用户

用户验证 CA 颁发的证书

证书的申请、发布、使用

4.证书安装的实验

需要域环境 在域环境中添加 CA 证书服务器 选择 证书颁发机构和 证书颁发机构 web 注册

完毕后默认选择企业 CA 根 CA 完成配置

web 服务器端 选择证书服务器 创建证书申请， 然后通过浏览器 访问 http://ip/certsrv 访问申请证书，颁发下载证书后，完成证书申请， 在网站中绑定 所需证书

配置 SSL 安全通道

选择要求 ssl 则只能使用 https 访问网站

客户端证书， 选择 必须，则需要客户端申请证书才能访问

           选择 接受和 忽略 则用户端不必有证书也可以成功访问

证书的导入导出，

当 web 服务器要更换物理主机时，可以将原证书导出 并导入到新的物理服务器上， 新 web 网站可以重新绑定原来的证书服务 ，而不必重新申请证书。