PKI
PKI 概述
公鑰基礎設施(Public Key Infrastructure):通過加密技術和數字簽名保證資訊的安全
組成:公鑰加密技術,數字證書,CA(Certificate Authority),RA
資訊安全三要素
- 機密性
- 完整性
- 身份認證/操作不可否認
PKI使用
- SSL/HTTPS
- IPsecVPN
- 部分遠程訪問VPN
公鑰加密技術
作用:實作對資訊加密、簽名等
加密演算法
- 對稱加密演算法----加解密密鑰一致
- 非對稱加密演算法
- 通信雙方各自產生一對公私鑰
- 雙方交換公鑰
- 公私鑰實作互相加解密
- 公私鑰不可互相推算
數字簽名
使用自己的私鑰對摘要進行加密得出的密文即數字簽名
證書
保證公鑰的合法性
證書格式遵循X.509標準
數字證書包含
使用者的公鑰值
使用者標識資訊(名稱和電子郵件)
有效期(證書有效期限)
頒發者標識資訊
頒發者數字簽名
數字證書由權威公正的第三方機構即CA簽發
部署HTTPS服務器
CA是權威證書頒發機構,為了公正“公鑰”的合法性!
機密性:使用對方的公鑰加密
身份驗證/數字簽名:使用自己的私鑰!
- 添安裝IIS服務
- 安裝IIS服務后,添加一個網站
- 安裝DNS服務
-
安裝DNS服務后,添加A記錄
- 安裝CA
- 右鍵點擊“我的電腦”->“管理”->“角色”,點擊“添加角色”
- 點擊下一步
- 選擇證書頒發機構和證書頒發機構Web注冊兩項
- 因沒有安裝域,此處選擇獨立
- 第一次安裝,選擇根CA
- 新建私鑰
- 使用默認,密鑰長度越大,速度越慢
- 輸入CA機構的名稱
設定CA機構本身證書的有效期
- CA資訊存放路徑
- 選擇角色服務
- 開始->管理工具->打開證書頒發機構
- 證書頒發機構頁面
- 為WEB服務器創建服務器證書
- 在服務器證書中右鍵點擊,選擇“創建證書申請”
- 輸入基本資訊
- 選擇密鑰長度
- 將證書申請檔案保存至本地檔案
- 在CA證書服務安裝時,會安裝證書的Web程式,可以通過網頁訪問,進行證書申請
- 點擊高級證書申請,上面的兩項是為客戶端機器申請證書使用
- 選擇下面一項:使用base64…項
- 將證書申請時生成的txt檔案內容,完全拷貝,粘貼至網頁文本框,點擊“提交”
- 證書生成
- 在證書頒發機構->掛起的申請中,執行頒發,進行證書頒發
- 證書頒發完成后,可以通過網頁,下載證書
- 在IIS服務器上完成證書的申請
- 選擇剛下載的證書檔案
- 為網站添加https系結
- 修改網站SSL設定項
- 選擇要求SSL后,用戶通過瀏覽器再訪問時,必須使用https
- 通過網頁訪問https網站,在其他虛擬機上訪問時,需要配置在同一個網路,并且DNS指向安裝DNS服務的主機,完成域名決議
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/374563.html
標籤:其他
上一篇:mysql 手工注入決議
下一篇:Shellshock Lab