没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
目录
目录................................................................................................................................................ 1
1. PKI、CA 简介.............................................................................................................................. 2
1.1. PKI 主要由以下组件组成................................................................................................ 2
认证中心 CA(证书签发)................................................................................................. 2
X.500 目录服务器(证书保存)......................................................................................... 2
具有高强度密码算法(SSL)的安全 WWW 服务器..........................................................3
Web(安全通信平台)....................................................................................................... 3
自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统
........................................................................................................................................ 3
1.1. 认证中心 CA 作为 PKI 的核心部分,.............................................................................. 3
1.2. 典型 CA 框架模型 .......................................................................................................... 4
1. 安全服务器:............................................................................................................... 4
2. CA 服务器................................................................................................................... 5
3. 注册机构 RA............................................................................................................... 5
4. LDAP 服务器............................................................................................................... 5
5. 数据库服务器............................................................................................................. 5
2. SSL 证书 ..................................................................................................................................... 6
2.1. X.509 标准....................................................................................................................... 6
2.2. PKCS 标准........................................................................................................................ 6
2.3. X.500 和目录服务标准.................................................................................................... 7
2.3.1. 0x1: SSL 公钥证书................................................................................................. 8
2.3.2. 0x2: 证书废除列表 CRL....................................................................................... 11
3. SSL 证书生成、openSSL 学习 ................................................................................................. 14
3.1. OpenSSL 是一个强大的安全套接字层密码库,..........................................................14
3.2. 使用 openSSL 开发套件,我们可以完成以下功能......................................................14
3.3. openssl 提供了很多不同的命令,...............................................................................15
3.3.1. openssl list-standard-commands(标准命令).......................................................15
3.3.2. openssl list-message-digest-commands(消息摘要命令).....................................20
3.3.3. openssl list-cipher-commands (Cipher 命令的列表)...........................................21
4. CA 中心搭建、SSL 证书生成过程............................................................................................ 23
4.1. CA 认证中心准备.......................................................................................................... 23
4.1.1. 选择市场上公认的权威性的 CA 中心................................................................23
4.1.2. 本机搭建 CA 认证中心....................................................................................... 24
4.2. 服务端证书准备............................................................................................................ 25
4.3. 配置 apache 的 SSL 证书................................................................................................ 25
4.4. 配置客户端的 SSL 证书................................................................................................. 27
1. PKI、CA 简介
PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定标准的密钥管理平
台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,
简单来说,PKI 就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI 技术是信
息安全技术的核心,也是电子商务的关键和基础技术。
PKI 是 Public Key Infrastructure 的缩写,是指用公钥概念和技术来实施和提供安全服
务的具有普适性的安全基础设施。这个定义涵盖的内容比较宽,原则上说,任何以公钥技
术为基础的安全基础设施都是 PKI。当然,没有好的非对称算法和好的密钥管理就不可能
提供完善的安全服务,也就不能叫做 PKI。也就是说,该定义中已经隐含了必须具有的密
钥管理功能。
既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实
现安全基础服务目的的技术统称为
1.1. PKI 主要由以下组件组成
认证中心 CA(证书签发)
CA 是 PKI 的"核心",即数字证书的申请及签发机关,CA 必须具备权威性的特征,它负责管
理 PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑
在一起,在网上
验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布
X.500 目录服务器(证书保存)
X.500 目录服务器用于"发布"用户的证书和黑名单信息,用户可通过标准的 LDAP 协议查询
自己或其他人的证书和下载黑名单信息。
具有高强度密码算法(SSL)的安全 WWW 服务器
(即配置了 HTTPS 的 apache)
Secure socket layer(SSL)协议最初由 Netscape 企业发展,现已成为网络用来鉴别网站和网页
浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
Web(安全通信平台)
Web 有 Web Client 端和 Web Server 端两部分,分别安装在客户端和服务器端,通过具有高
强度密码算法的 SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
自开发安全应用系统 自开发安全应用系统是指各行业自开
发的各种具体应用系统,
例如银行、证券的应用系统等。完整的 PKI 包括:
1) 认证政策的制定,包括
1.1) 遵循的技术标准
1.2) 各 CA 之间的上下级或同级关系
1.3) 安全策略
1.4) 安全程度
1.5) 服务对象
1.6) 管理原则和框架等
2) 认证规则
3) 运作制度的制定
4) 所涉及的各方法律关系内容
5技术的实现等
1.1. 认证中心 CA 作为 PKI 的核心部分,
CA 实现了 PKI 中一些很重要的功能
1. 接收验证最终用户数字证书的申请
2确定是否接受最终用户数字证书的申请证书的审批
3向申请者颁发、拒绝颁发数字证书证书的发放
4接收、处理最终用户的数字证书更新请求证书的更新
5. 接收最终用户数字证书的查询、撤销
6. 产生和发布证书废止列表(CRL)
7. 数字证书的归档
8. 密钥归档
9历史数据归档
在这么多功能中,CA 的核心功能就是"发放"和"管理"数字证书,同时这也是 PKI 的核心
1.2. 典型 CA 框架模型
1. 安全服务器:
安全服务器面向普通用户,用于提供:
1) 证书申请
2) 浏览
3) 证书撤消列表
4) 证书下载等安全服务
安全服务器与用户的的通信采取安全信道方式(如 SSL 的方式,不需要对用户进行身份认证)。
用户首先得到安全服务器的证书(该证书由 CA 颁发),然后用户与服务器之间的所有通信,
包括用户填
写的申请信息以及浏览器生成的公钥均以安全服务器的密钥进行加密传输,只有安全服务
器利用自己的私钥解密才能得到明文,这样可以防止其他人通过窃听得到明文。从而保证
了证书申请和传输
过程中的信息安全性。
2. CA 服务器
CA 服务器是整个证书机构的核心,负责:
1) 证书的签发
1.1) 产生自身的私钥和公钥(密钥长度至少为 1024 位)
1.2) 然后生成根数字证书,并且将数字证书传输给安全服务器
2) CA 还负责为操作员、安全服务器以及注册机构服务器生成数字证书。安全服务器的数
字证书和私钥也需要传输给安全服务器
CA 服务器是整个结构中最为重要的部分,存有 CA 的私钥以及发行证书的脚本文件,出于
安全的考虑,应将 CA 服务器与其他服务器隔离,任何通信采用人工干预的方式,确保认证
中心的安全。
3. 注册机构 RA
登记中心服务器面向登记中心操作员,在 CA 体系结构中起承上启下的作用
1) 一方面向 CA 转发安全服务器传输过来的证书申请请求
2) 另一方面向 LDAP 服务器和安全服务器转发 CA 颁发的数字证书和证书撤消列表。
4. LDAP 服务器
LDAP 服务器提供目录浏览服务,负责将注册机构服务器传输过来的用户信息以及数字证书
加入到服务器上。这样其他用户通过访问 LDAP 服务器就能够得到其他用户的数字证书。
5. 数据库服务器
数据库服务器是认证机构中的核心部分,用于:
1) 认证机构中数据(如密钥和用户信息等)
2) 日志合统计信息的存储和管理
实际的的数据库系统应采用多种措施,如磁盘阵列、双机备份和多处理器等方式,以维护
数据库系统的安全性、稳定性、可伸缩性和高性能。
我们知道,PKI 的目的是使用公钥机制加密技术来保护通信的安全,而公钥算法涉及到很
多的加密参数,同时 PKI 机制中还有对用户身份的识别的功能,为了满足这些需求,"证
书"的出现就很自然了,证书从本质上来说就是一个 ASCII 文本文件,它只是将整个公钥
剩余26页未读,继续阅读
资源评论
flow1100
- 粉丝: 1
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 2%EF%BC%9A%E9%99%95%E8%A5%BF%E
- yyspdz62_944.apk
- SAP公司间采购EDI配置-如何触发自动MIRO.docx
- python197基于图像识别的仪表实时监控系统.rar
- python196基于循环神经网络的情感分类系统.rar
- I2C驱动SHT30温湿度传感器和LCD12864使用例程(RSCG12864B)
- python193中学地理-中国的江河湖泊教学网(django).rar
- python191基于时间序列分析的大气污染预测软件(django).rar
- python190基于人脸识别智能化小区门禁管理系统.rar
- python189某医院体检挂号系统.rar
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功