# 1. PKI的作用 ``` 当我们在网络上传输数据的时候,这些数据可能会在传输的过程中被截取、串改、而PKI(公钥基础结构),它可以确保电子邮件、电子商务交易、文件传输等各类数据传输的安全性。 ``` # 2. PKI概述 ``` 用户通过网站将数据传送给接收者时,可以利用PKI所提供的以下三个功能来确保数据传送的安全性。 1.对传送的数据加密 2.接收者计算机会验证收到的数据是否由发送者本人所发送的。 3.接收者计算机还会确认数据完整性,也就是检查数据在传输过程中是否被串改。 PKI根据(公钥密码编译法)来提供上述功能,而用户需要拥有下面的一组密钥来支持这些功能。 1:公钥:用户的公钥可以向其他用户开放 2:私钥:用户的私钥是该用户私钥的,并且是存储在用户计算机内、只有它能够访问。 用户需要通过向证书颁发机构(CA)申请证书的方法拥有与使用这一组密钥 ``` # 3. 公钥加密法 ``` 数据加密后,必须经过解密才能读取数据的内容。 PKI使用公钥加密算法对数据加密与解密。 发送者利用接收者的公钥对数据进行加密,而接收者利用自己的私钥对数据进行解密。 ``` ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gje7efaxq1j30jh0bkdgl.jpg) ``` user01必须先取得user02的公钥,才能利用此公钥对电子邮件进行加密,而因为user02的私钥只存在它的计算机内,所有只有user02的计算机才能对此邮件进行解密,因为user02可以正常读取邮件。其他用户对此邮件进行拦截,也无法读取里面的数据内容,因为它们没有user02的私钥,无法对其解密。 ``` # 4. 公钥验证法 ``` 发送者可以利用公钥验证来对欲传送的数据“数字签名”(数字签名、数字签署)而接收者计算机在收到数据后,便能够通过此数字签名来验证数据是否确定是由本人所发出,同时还会检查数据在传送的过程中是否被串改。 发送者利用自己的私钥对数据签名,而接收者计算机会利用发送者的公钥来验证此数据。 ``` ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gje7wqrtwmj30j10bx0ti.jpg) ``` 由于图中的邮件是经过user01私钥签名的,而公钥和私钥又是一对的,因此接收者user02必须先获取发送者的公钥后,才可以利用此密钥来验证这封邮件是否由本人user01所发送,并检查这封邮件是否被串改。 ``` # 5. 数字签名是如何产生的?又如何用来验证身份呢? ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gje9ciwbghj30tw0iidh2.jpg) ``` 1.发件人的电子邮件经过消息哈希算法的运算处理后,产生了一个信息摘要,它是一个数字指纹。 2.发件人的电子邮件利用发件的私钥对信息摘要进行加密,所使用的加密方法为公钥加密算法,加密后的结果被称为数字签名 3.发件人的电子邮件软件将原电子邮件与数字签名一样并传递给收件者。 4.收件者的电子邮件软件将收到的电子邮件与数字签名分开处理。 4.1 电子邮件重新经过哈希算法的运算处理后,产生新的信息摘要。 4.2 数字签名经过公钥加密算法的解密处理后,可得出时发件人的原信息摘要。 5.新信息摘要与原信息摘要应该相同,否则表示这封邮件被篡改或被假冒身份者发送的。 ``` # 6. SSL网站安全连接 ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gje9m91hqzj30oz0eldgb.jpg) ``` 1.客户端浏览器利用https://www.yu.com来连接网站时,客户端会先给web服务器发出Client Hello消息。 2.Web服务器会发送Server Hello消息给客户端,此消息包含网站的证书信息(内含公钥)。 3.客户端与网站双方开始协商SSL连接的安全级别,例如选择40或128位的加密密钥。位数越多,越难破解,数据越安全,但网站性能会受到影响。 4.浏览器根据双方同意的安全级别建立会话密钥、利用网站的公钥对会话密钥加密,将加密过后的会话密钥发送给网站。 5.网站利用自己的私钥对会话密钥进行解密 6.之后浏览器与客户端双方互相之间传输的所有数据都会利用这个会话密钥对其加密与解密。 ``` # 7. 搭建证书服务器 ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea0u8smoj30a105i0ss.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea1djlvwj30lt0fedh0.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea231njoj30lu0fh75a.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea2f5u36j30lm0ff75e.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea2zg5f2j30lr0fiwfz.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea3egsflj30lq0fhdhb.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea3sg83zj30lr0fdq42.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea4i3hy1j30ll0fmjsn.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea4usgmqj30lo0fhdh5.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea5dkp3tj30lt0fkq4k.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea61zv44j30lm0fo3zv.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea894gubj30le0fe0u0.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjea95ve5hj30l10fnjsd.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeaa25q8cj30kx0fuwfh.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeaax53otj30kv0fit9w.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeablywmwj30kw0fgdh1.jpg) # 8. CA种类 ##### 8.1 企业根CA ``` 它需要域环境,可以将企业根CA安装到域控制器或成员服务器。它发放证书都对象仅限域用户,当域用户申请证书时,企业根CA从Active Directory得知用户的账号信息,并根据该用户是否有权限来申请所需证书。 企业根CA主要应该是用来发放证书给次级CA,虽然企业根CA还是可以发放保护电子邮件安全、网站SSL安全联机等证书,不过应该将发放这些证书的工作交给次级CA来负责。 ``` ##### 8.2企业从属CA ``` 企业从属CA也需要域环境,企业从属CA适用于用来发放保护电子邮件安全、网站SSL安全连接等证书。企业从属CA必须向其父CA(企业根CA)取得证书之后才会正常工作。企业从属CA也可以给再下一层的次级CA发放证书。 ``` ##### 8.3 独立根CA ``` 独立根CA类似于企业根CA,但不需要域环境。它可以是独立服务器、成员服务器或域控制器。无论是否是域用户,都可以向独立根CA申请证书。 ``` ##### 8.4 独立从属CA ``` 独立从属CA类似于企业从属CA,但不需要域环境。它可以是独立服务器、成员服务器或域控制器。无论是否是域用户,都可以向独立从属CA申请证书。 ``` ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeamxmqdgj30l60fn3zt.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeap2cwfaj30l00fj75b.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeapw9mp9j30l60fn75c.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeaqnk6gzj30l80foaay.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjearlyrk5j30l00fht9l.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjearz883vj30l10fojsi.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeaw4k9z7j31ha0qu77x.jpg) # 9. 搭建https ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeax916xsj30co0k9gmg.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeaxxn8cjj31ha0qu79r.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeayme2gyj31ha0quwjg.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb0pa0lij30ix0g5js0.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb15ksvxj30ie0g3wf1.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb2ix7p6j30im0g7js1.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb3pvefcj31ha0quq6v.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb4916jij31ha0qun0g.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb4q1allj31ha0qu77u.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb5s5ms2j31ha0qu0z2.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb72exepj31ha0qu4qp.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb7oklz4j31ha0qudl6.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb8hnaknj31ha0quwi6.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeb9amlo1j31ha0qujve.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeba975crj31ha0qutcn.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebas0n38j31ha0qujur.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebbpmzwoj31hc0rsn0m.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebd1kaq3j31ha0qudjd.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebdinw9ij31ha0qudjc.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebe2ze3kj31ha0qu42j.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebetsy0wj31ha0qu43h.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebfozy7uj30ip0fn3z4.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebino4gnj31ha0quwke.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebjqxr57j30hy0bujrj.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebkb49guj30ek0cwmxf.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebm8fd69j30ea0cyq3d.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjebp95no1j31ha0qujxb.jpg) # 10. 客户端信任CA服务器 ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjef9ewmn6j31ha0quadm.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjef9xd0xij31ha0qu41t.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefabyqllj31ha0qu0w6.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefaopw0bj31ha0qun0k.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefb84ofdj30bm06wglq.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefc3wfdfj31ha0qudj4.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefcs1nn1j30lm0gzjsr.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefdmbskkj30gr0ekt8z.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefea4krjj30gu0eqgm3.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefenahe4j30lp0gv75o.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefg6rxclj31ha0qugrh.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefgk9ci9j30h50hodgc.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefgv4oi0j30h20hmjrt.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefi2bv9bj30qj0f775d.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefihlcabj30he0hrt97.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefj5sk98j30h20hmwey.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefjqeyy0j30h30hnq3b.jpg) ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjefk8zzwij304i04tdfn.jpg) ##### 10.1 效果展示 ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeg6tgo2wj31ha0quwkf.jpg) # 11. 强制性https访问 --- # 11.1 实验效果 --- ![image.png](https://panfeng-biji.oss-cn-beijing.aliyuncs.com/img/007wL02tgy1gjeg6tgo2wj31ha0quwkf.jpg) # 12. 技能实践 ``` 1.搭建独立CA 2.搭建https 3.客户端信任CA服务器 4.强制访问https ``` # 13. 扩展提高 ``` 1.搭建企业CA 2.证书模板自动生成web证书 3.更改CA根证书有效期 4.企业CA提供工作组注册证书 ```
最后修改:2021 年 10 月 12 日
© 允许规范转载
如果觉得我的文章对你有用,欢迎打赏