学习PKI技术【理论+实战】

1.预备知识

PKI(Public Key Infrastructure)定义

PKI：利用公钥理论和技术建立的提供网络信息安全服务的基础设施。为用户提供所需的密钥和证书管理，用户可以利用PKI平台提供的安全服务进行安全通信。

 

PKI内容：

1. 认证机构

PKI的核心部分，认证中心，是数字证书的签发机构，权威可信任的第三方机构

2. 数字证书库

在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。

3. 密钥备份

如果用户丢失了密钥，会造成已经加密的文件无法解密，引起数据丢失，为了避免这种情况，PKI提供密钥备份及恢复机制

4. 证书作废

身份变更或密钥遗失

5. 应用接口系统

PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。

6.安全强度  取决于密钥长度

如：56位密钥破解 需要3.5或21分钟

128位密钥破解 需要5.4*10 18次方年

7.安全标准

（1）成本标准：信息价值与破解成本的比较

（2）时间有效期：信息的有效期与破解时间的比较

 

PKI加密技术：

对称加密 加密密钥和解密密钥是同一个密钥

对称加密 示意图 密钥维护工作量大 示意图

非对称加密  公钥 和 私钥 密钥对 公钥加密私钥解密 私钥加密公钥解密  （公钥与私钥不能互相推导）

       每个用户有一个非对称密钥就足够，适合互联网传公钥  加密效率低

非对称加密 示意图

 

2.加密细节

加密  隐藏细节 使用对称密钥加密数据 使用公钥加密对称密钥

加密方法 细节图

数字签名  作用  防止抵赖  确信信息来源 不能更改

数字签名 示意图

3.证书颁发机构

数字证书  就是非对称密钥

数字证书 示意图

 

2.实践

查找电脑中的数字证书，以windows2003为例：

 

查看网站数字证书：

查看与增删计算机上的数字证书

查看证书2

5.CA的种类

（1）企业CA 在域环境中 为域中的用户和计算机颁发证书  不需要管理员颁发 在线

（2）独立CA  为互联网上广大企业和用户发证书 根证书机构可以离线  提供证书吊销列表的CA必须在线

（1）根CA

（2）子CA

2.在企业中如何使用PKI技术实现安全

更改计算机名

在windows2008中安装根CA

在企业中安装企业CA 子CA 

为子CA申请数字证书

将申请提交给 独立CA

安装数字证书

注：文章中有参照韩立刚老师的视频教程，实验过程由于虚拟机问题实验未完成，在后续有时间会补回来。。。

如若文章未满足您的需求非常抱歉，由于个人原因尚未将此文完善，有时间一定补上。