PKI+CA
就是Public Key Infrastructure+Certification Authority翻译一下就是 公开密钥基础结构及证书认证机构。
随着网络的普及,网络安全问题被人们愈来愈来关注,如今网络尤其是internet网络的安全已经离不开PKI的技术支持。网络应用中的机密性、真实性、完整性等都需要PKI技术来满足。目前PKI呗广泛应用到WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易以及×××等。
PKI 是一种利用公钥加密技术为用户提供安全通信的技术。包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等基础技术。首先说一下加密,加密就是使用密码算法对数据做变换,使得只有密码才能恢复数据原貌。密码算法被分为两类:对称密码算法、非对称密码算法。
对称加密就是加密与解密的密钥相同,加密方式有DES/3DES和AES等,对称加密保密度高,计算开销小,且处理速度快,不过管理较为困难。与对称加密相反,非对称加密使用的公钥与私钥不同,公钥就是在信息团体内公开,私钥是用户自己保存。这样便于密钥管理、分发、便于数字签名等,但计算的开销大、处理的速度慢,经常使用的算法有RSA/DSA等。
但光有密钥还不够,加密信息的发送者需要认定公钥确实是接收者的,如果他用第三者的公钥去加密,他希望的接收者无法解密该信息,而拥有对应私钥的第三者却可以做到。这时就需要CA登场了,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心Certification Authority来确认公钥拥有人的真正身份。就象公安局发放的×××一样,认证中心发放一个叫"数字证书"的×××明。CA作为第三方认证机构,具有的功能有颁发证书、查询证书、吊销证书、归档证书。CA机构有域环境下的企业根CA、企业从属CA还有独立根CA、独立从属CA。我们利用浏览器去申请证书,所以在实验时就需要个网站。验证证书我们用邮件传输的数字签名。
实验准备:需要四台虚拟机,相互可以通信。
实验步骤:1:先要搭建环境,把两台虚拟机作为客户端,一台命名为Mary另一台叫jark。第三台虚拟机做CA+IIS,第四台做电子邮件服务器。
2:先建个网站,在虚拟机三运行sysocmgr /i:sysoc.inf 调出添加删除程序控制台,在应用程序服务器里添加internet信息服务,未来方便我们可以同时安装证书服务,在本机架设独立根CA。安装完成后在虚拟机C盘里建个文件夹web 并在里面建个文本文档写一些东西,比如:这是实验网页。 后把文档名改为123.htm。打开MMC控制台 添加iis和ca,此时在iis的网站中会发现有默认网站,不管他自己建一个网站,网站描述就叫web ,IP地址指向自己,把主目录的路径指向刚才建的文件夹web,后右键web的属性 把文档选项中添加123.htm。好了网站设置好了。
3:下面就让两台客户端去访问虚拟机三,在浏览器里输入虚拟机三的ip地址后斜杠加123.htm,看看是否能访问但测试页,成功了
4:把第四台虚拟机同样方法安装电子邮件服务。新建域qq.com在里面建邮箱Mary与jark,具体设置方法见电子邮件服务器的架设,后再两台客户端开启outlook express,建标识Mary与jark 并把接收与发送邮件服务器指向第四台虚拟机ip,可以让Mary给jark发邮件看jark是否能收到,后回复给Mary 查看Mary是否能收到,此时邮件是无法签名的。
5:让Mary和jark去访问第三台虚拟机,同样用浏览器访问,不过是访问ip斜杠后加certsrv回车后会看到在浏览器中有申请证书,点击会进入到下个网页,会让你选择要申请的证书。选择邮件证书,后会让你填详细信息,其他的可以不注意,但邮件地址一定要填对,确定后会发送到CA此时就需要第三台虚拟机的管理员账户去颁发证书,在CA中查看挂起的申请后所有任务--颁发证书,在客户机上再访问一下网页,此时查看挂起的申请 ,会获得刚才申请的证书。然后安装,两边都在outlook express里点击账户在属性里的安全把证书放进去,后验证。让Mary发给jark一封邮件 在上面用签名加密,在jark上看看效果,会知道这个邮件是否是Mary所发及邮件的安全性。
就是Public Key Infrastructure+Certification Authority翻译一下就是 公开密钥基础结构及证书认证机构。
随着网络的普及,网络安全问题被人们愈来愈来关注,如今网络尤其是internet网络的安全已经离不开PKI的技术支持。网络应用中的机密性、真实性、完整性等都需要PKI技术来满足。目前PKI呗广泛应用到WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易以及×××等。
PKI 是一种利用公钥加密技术为用户提供安全通信的技术。包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等基础技术。首先说一下加密,加密就是使用密码算法对数据做变换,使得只有密码才能恢复数据原貌。密码算法被分为两类:对称密码算法、非对称密码算法。
对称加密就是加密与解密的密钥相同,加密方式有DES/3DES和AES等,对称加密保密度高,计算开销小,且处理速度快,不过管理较为困难。与对称加密相反,非对称加密使用的公钥与私钥不同,公钥就是在信息团体内公开,私钥是用户自己保存。这样便于密钥管理、分发、便于数字签名等,但计算的开销大、处理的速度慢,经常使用的算法有RSA/DSA等。
但光有密钥还不够,加密信息的发送者需要认定公钥确实是接收者的,如果他用第三者的公钥去加密,他希望的接收者无法解密该信息,而拥有对应私钥的第三者却可以做到。这时就需要CA登场了,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心Certification Authority来确认公钥拥有人的真正身份。就象公安局发放的×××一样,认证中心发放一个叫"数字证书"的×××明。CA作为第三方认证机构,具有的功能有颁发证书、查询证书、吊销证书、归档证书。CA机构有域环境下的企业根CA、企业从属CA还有独立根CA、独立从属CA。我们利用浏览器去申请证书,所以在实验时就需要个网站。验证证书我们用邮件传输的数字签名。
实验准备:需要四台虚拟机,相互可以通信。
实验步骤:1:先要搭建环境,把两台虚拟机作为客户端,一台命名为Mary另一台叫jark。第三台虚拟机做CA+IIS,第四台做电子邮件服务器。
2:先建个网站,在虚拟机三运行sysocmgr /i:sysoc.inf 调出添加删除程序控制台,在应用程序服务器里添加internet信息服务,未来方便我们可以同时安装证书服务,在本机架设独立根CA。安装完成后在虚拟机C盘里建个文件夹web 并在里面建个文本文档写一些东西,比如:这是实验网页。 后把文档名改为123.htm。打开MMC控制台 添加iis和ca,此时在iis的网站中会发现有默认网站,不管他自己建一个网站,网站描述就叫web ,IP地址指向自己,把主目录的路径指向刚才建的文件夹web,后右键web的属性 把文档选项中添加123.htm。好了网站设置好了。
3:下面就让两台客户端去访问虚拟机三,在浏览器里输入虚拟机三的ip地址后斜杠加123.htm,看看是否能访问但测试页,成功了
4:把第四台虚拟机同样方法安装电子邮件服务。新建域qq.com在里面建邮箱Mary与jark,具体设置方法见电子邮件服务器的架设,后再两台客户端开启outlook express,建标识Mary与jark 并把接收与发送邮件服务器指向第四台虚拟机ip,可以让Mary给jark发邮件看jark是否能收到,后回复给Mary 查看Mary是否能收到,此时邮件是无法签名的。
5:让Mary和jark去访问第三台虚拟机,同样用浏览器访问,不过是访问ip斜杠后加certsrv回车后会看到在浏览器中有申请证书,点击会进入到下个网页,会让你选择要申请的证书。选择邮件证书,后会让你填详细信息,其他的可以不注意,但邮件地址一定要填对,确定后会发送到CA此时就需要第三台虚拟机的管理员账户去颁发证书,在CA中查看挂起的申请后所有任务--颁发证书,在客户机上再访问一下网页,此时查看挂起的申请 ,会获得刚才申请的证书。然后安装,两边都在outlook express里点击账户在属性里的安全把证书放进去,后验证。让Mary发给jark一封邮件 在上面用签名加密,在jark上看看效果,会知道这个邮件是否是Mary所发及邮件的安全性。
总结:要申请证书要用到iis 但如果你先装了ca后装iis要在网站中新建个虚拟目录。
