没有合适的资源?快使用搜索试试~ 我知道了~
局域网05-PKI配置
需积分: 5 0 下载量 25 浏览量
2023-09-13
17:44:14
上传
评论
收藏 349KB PDF 举报
温馨提示
试读
29页
05-PKI配置
资源推荐
资源详情
资源评论
操作手册 安全分册 PKI 目 录
i
目 录
第 1 章 PKI配置.......................................................................................................................1-1
1.1 PKI简介 .............................................................................................................................. 1-1
1.1.1 概述 ......................................................................................................................... 1-1
1.1.2 相关术语 .................................................................................................................. 1-1
1.1.3 体系结构 .................................................................................................................. 1-2
1.1.4 主要应用 .................................................................................................................. 1-3
1.1.5 PKI的工作过程......................................................................................................... 1-3
1.2 PKI配置任务简介................................................................................................................ 1-4
1.3 配置实体DN ....................................................................................................................... 1-4
1.4 配置PKI域 .......................................................................................................................... 1-6
1.5 PKI证书申请....................................................................................................................... 1-8
1.5.1 自动申请证书........................................................................................................... 1-8
1.5.2 手工申请证书........................................................................................................... 1-8
1.6 手工获取证书 ..................................................................................................................... 1-9
1.7 配置PKI证书验证.............................................................................................................. 1-10
1.8 销毁本地RSA密钥对 ........................................................................................................ 1-12
1.9 删除证书........................................................................................................................... 1-12
1.10 配置证书属性的访问控制策略........................................................................................ 1-12
1.11 PKI显示和维护 ............................................................................................................... 1-13
1.12 PKI典型配置举例 ........................................................................................................... 1-14
1.12.1 PKI实体向CA申请证书(方式一) ...................................................................... 1-14
1.12.2 PKI实体向CA申请证书(方式二) ...................................................................... 1-18
1.12.3 使用PKI证书体系的RSA证书签名方法进行IKE协商认证..................................... 1-21
1.12.4 证书属性的访问控制策略应用举例 ...................................................................... 1-24
1.13 常见配置错误举例 .......................................................................................................... 1-26
1.13.1 获取CA证书失败.................................................................................................. 1-26
1.13.2 本地证书申请失败 ............................................................................................... 1-27
1.13.3 CRL获取失败....................................................................................................... 1-27
操作手册 安全分册 PKI 第 1 章 PKI 配置
1-1
本文中标有“请以实际情况为准”的特性描述,表示各型号对于此特性的支持情况
可能不同,本节将对此进行说明。
说明:
z H3C MSR 系列路由器对相关命令参数支持情况、缺省值及取值范围的差异内容
请参见本模块的命令手册。
z H3C MSR 系列各型号路由器均为集中式设备。
z 设备对接口的实际支持情况请参见“H3C MSR 20/30/50 系列路由器接口模块及
接口卡手册”。
第1章 PKI 配置
1.1 PKI
简介
1.1.1 概述
PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证
书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。
PKI 的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用
户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相
关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保
证了通信数据的机密性、完整性和不可否认性。
1.1.2 相关术语
1. 数字证书
数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息
的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。
一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称
和该证书的序列号等信息,证书的格式遵循 ITU-T X.509 国际标准。本手册中涉及
两类证书:本地(local)证书和 CA(Certificate Authority)证书。本地证书为 CA
签发给实体的数字证书;CA 证书也称为根证书,为 CA“自签”的数字证书。
2. 证书废除列表(CRL,Certificate Revocation List)
由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证
书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在 PKI 中,所使用的
这种方法为证书废除列表。任何一个证书被废除以后,CA 就要发布 CRL 来声明该
操作手册 安全分册 PKI 第 1 章 PKI 配置
1-2
证书是无效的,并列出所有被废除的证书的序列号。CRL 提供了一种检验证书有效
性的方式。
当一个 CRL 的撤消信息过多时会导致 CRL 的发布规模变得非常庞大,且随着 CRL
大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个 CA
的撤消信息通过多个 CRL 发布出来。CRL 片断也称为 CRL 发布点。
3. CA 策略
CA 在受理证书请求、颁发证书、吊销证书和发布 CRL 时所采用的一套标准被称为
CA 策略。通常,CA 以一种叫做证书惯例声明(CPS,Certification Practice
Statement)的文档发布其策略,CA 策略可以通过带外(如电话、磁盘、电子邮件
等)或其他方式获取。由于不同的 CA 使用不同的方法验证公开密钥与实体之间的
绑定,所以在选择信任的 CA 进行证书申请之前,必须理解 CA 策略,从而指导对
实体进行相应的配置。
1.1.3 体系结构
一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如
下
图 1-1。
图1-1 PKI 体系结构图
1. 终端实体
终端实体是 PKI 产品或服务的最终使用者,可以是个人、组织、设备(如路由器、
交换机)或计算机中运行的进程。
2. 证书机构(CA,Certificate Authority)
CA 是 PKI 的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:
发放证书、规定证书的有效期和通过发布 CRL 确保必要时可以废除证书。
操作手册 安全分册 PKI 第 1 章 PKI 配置
1-3
3. 注册机构(RA,Registration Authority)
RA 是 CA 的延伸,可作为 CA 的一部分,也可以独立。RA 功能包括个人身份审核、
CRL 管理、密钥对产生和密钥对备份等。PKI 国际标准推荐由一个独立的 RA 来完
成注册管理的任务,这样可以增强应用系统的安全性。
4. PKI 存储库
PKI 存储库包括 LDAP(Lightweight Directory Access Protocol,轻量级目录访问协
议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL 和日志等信息进行
存储和管理,并提供一定的查询功能。
LDAP提供了一种访问 PKI存储库的方式,通过该协议来访问并管理 PKI 信息。LDAP
服务器负责将 RA 服务器传输过来的用户信息以及数字证书进行存储,并提供目录
浏览服务。用户通过访问 LDAP 服务器获取自己和其他用户的数字证书。
1.1.4 主要应用
PKI 技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,
PKI 的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
1. 虚拟专用网络(VPN,Virtual Private Network)
VPN 是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议
(如 IPSec)和建立在 PKI 上的加密与数字签名技术来获得机密性保护。
2. 安全电子邮件
电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用 PKI 技术
来实现。目前发展很快的安全电子邮件协议 S/MIME(Secure/Multipurpose Internet
Mail Extensions,安 全/多用途 Internet 邮件扩充协议),是一个允许发送加密和有签
名邮件的协议。该协议的实现需要依赖于 PKI 技术。
3. Web 安全
为了透明地解决 Web 的安全问题,在两个实体进行通信之前,先要建立 SSL(Secure
Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用
PKI 技术,SSL 协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和
浏览器端通信时双方可以通过数字证书确认对方的身份。
1.1.5 PKI 的工作过程
针对一个使用 PKI 的网络,配置 PKI 的目的就是为指定的实体向 CA 申请一个本地
证书,并由设备对证书的有效性进行验证。下面是 PKI 的工作过程:
(1) 实体向 CA 提出证书申请;
(2) RA 审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给 CA;
操作手册 安全分册 PKI 第 1 章 PKI 配置
1-4
(3) CA 验证数字签名,同意实体的申请,颁发证书;
(4) RA 接收 CA 返回的证书,发送到 LDAP 服务器以提供目录浏览服务,并通知
实体证书发行成功;
(5) 实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;
(6) 实体希望撤消自己的证书时,向 CA 提交申请。CA 批准实体撤消证书,并更
新 CRL,发布到 LDAP 服务器。
1.2 PKI
配置任务简介
表1-1 PKI 配置任务简介
配置任务 说明 详细配置
配置实体 DN 必选
1.3
配置 PKI 域 必选
1.4
自动申请证书
1.5.1
PKI 证书申请
手工申请证书
二者必选其一
1.5.2
手工获取证书 可选
1.6
配置 PKI 证书验证 可选
1.7
销毁本地 RSA 密钥对 可选
1.8
删除证书 可选
1.9
配置证书属性的访问控制策略 可选
1.10
1.3
配置实体
DN
一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的 PKI 实体相
关联。实体 DN(Distinguished Name,可识别名称)的参数是实体的身份信息,
CA 根据实体提供的身份信息来唯一标识证书申请者。
实体 DN 的参数包括:
z 实体通用名
z 实体所属国家代码,用标准的 2 字符代码表示。例如,“CN”是中国的合法
国家代码,“US”是美国的合法国家代码
z 实体 FQDN(Fully Qualified Domain Name,合格域名),是实体在网络中的
唯一标识,由一个主机名和域名组成,可被解析为 IP 地址。例如,www 是一
个主机名,whatever.com是一个域名,则 www.whatever.com就是一个 FQDN。
剩余28页未读,继续阅读
资源评论
xiaoli8748_软件开发
- 粉丝: 4821
- 资源: 1426
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功