1、PKI概述
名称: Public Key Infrastructure公钥基础设施
作用: 通过加密技术和数字签名保证信息的安全
组成: 公钥加密技术、数字证书、CA、RA
2、信息安全三要素
机密性
完整性
身份验证/操作的不可否认性
3.哪些IT领域用到PKI
1) SSL/HTTPS
2) IPsecVPN
3) 部分远程访问VPN
4.公钥加密技术
作用: 实现对信息加密、数字签名等安全保障
加密算法:
1) 对称加密算法
加解密的密钥一致!
DES 3DES AES
2) 非对称加密算法
*通信双方各自产生一对公私钥
*双方各自交换公钥
*公钥和私钥为互相加密关系
*公私钥不可互相逆推
RSA DH
x+5=y(对称加密算法) x是原数据/原文 y是密文 5是key/秘钥
HASH算法: MD5 SHA (验证完整性)
HASH值可逆么?不可逆!
HASH值=摘要
数字签名:
用自己的私钥对摘要加密得出的密文就是数字签名
5.证书
证书用于保证公密的合法性
证书格式遵循X.509标准
数字证书包含信息:
使用者的公钥值
使用者标识信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识信息
颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
实验名称:
部署HTTPS服务器、SSL服务器
实验环境:
设备型号 IP 角色
WIN2003 10.0.1.11 服务器
WINXP 10.0.1.10 测试机
1.配置服务器IP地址10.0.1.11/24
2.安装IIS服务并建立一个站点。(必须使用域名),在xp客户机上设置hosts,并初步验证访问
http://www.qf.com一下
3.安装CA组件
然后一直下一步知道安装完毕。
4.打开IIS,先生成证书申请文件
选择加密的方式,密钥长度
5.向CA申请证书: 打开网页http://10.0.1.11/certsrv并向CA服务器发送申请文件
将“申请文件”的内容全部复制到以下的红框内。
6.CA颁发证书
7.在web服务器上下载并完成安装
8.在web服务器上启用SSL443
9.在客户端上修改hosts文件,并验证
10.要求用户必须使用443访问,不能使用80访问
复习实验:
环境:WINXP、WIN2003、WIN2008
需求:win2008部署名为qq.com的域、在域下建立以下关系组织架构“Tencent”、“it”、“ceo”,其中it及ceo组织挂靠在tencent下
win2003加入域并部署DHCP服务器、IIS服务器及文件共享服务。在IIS发布两个名为oa.qq.com和crm.qq.com的网站,并且域用户可以访问该两个网页。在d盘创建share共享目录
其中ceo组织架构的域用户拥有完全控制权限,it组织架构拥有下载权限。
验证:winxp开机自动获取ip地址信息,加入域后,使用域用户能够正常访问oa.qq.com和crm.qq.com网站的首页,验证域用户对share目录的各自权限。