1. PKI(public Key infrastructure,公钥基础结构)是通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有这身份的一种体系。
2. PKI有公钥加密技术、数字证书、CA、RA等共同组成。
3. PKI体系能够实现的功能有:身份验证、数据的完整性、数据的机密性、操作的不可否认性。
4. 公钥加密技术:公钥(public key)和私钥(private key):密钥是成对出现的,这两个密钥互不相同,两个密钥可以互相加密和解密;不能够根据一个密钥推算出另一密钥;公钥对外公开,私钥只有私人持有。
5. 数据加密:用接收方的公钥加密,接收用自己的私钥解密,实现了数据的机密性。
6. 数字签名:用发送发的私钥进行加密,用发送的公钥进行解密,实现了身份验证、数据的完整性、操作的不可否认性。
7. CA(certificate authority,证书颁发机构)是PKI公钥结构的核心部分。
8. 证书包含的信息:使用者的公钥值、使用者的表示信息、有效期、颁发者表示信息、颁发者的数字签名。
9. CA的作用:处理证书的申请、鉴定证书申请者是否有资格接收证书、证书的颁发、证书的更新、接收最终用户数字证书的查询和撤销、产生和发布证书吊销列表、数字证书的归档、密钥的归档、历史数据的归档。
10. 证书的颁发过程:证书申请、RA确认用户、证书策略处理、RA提交用户申请信息到CA、CA为用户生成密钥对、CA将电子证书传给批准该用户的RA、RA将电子证书传送给用户、用户验证CA颁发的证书。
11. 安装证书服务前要注意:必须先安装好IIS服务,因为证书要向默认网站里写入一些虚拟目录,查看客户端和服务器端的时间是否一致,如果装好CA后,那么服务器的计算机名和ip地址都将不能改变。
12. Windows的CA服务器一般用在企业的内部网站,互联网上的CA一般的都是unix系统下的,而且都要收费的。
13. CA的类型:企业CA、企业从属CA、独立CA、独立从属CA。
14. 一般CA的名称都采用计算机的名称。
16. 工作组下CA的特点:工作组下只能够安装独立CA、没有证书模版、mmc请求没有、手工颁发证书、没有身份验证、不能通过mmc在客户端申请证书。
17. 域环境下的CA的特点:既有独立ca也有企业CA、有证书模版、能够在mmc控制台申请证书、有身份验证(谁申请谁使用)、在域下证书是自动颁发的。
18. SSL(secure sockets layer,安全套接字层)通信协议,在web服务器上使用以实现高安全性,SSL默认的端口是443。
19. 服务器端用的是服务器的证书,客户端用的是用户证书,在下载服务器端的证书时要注意证书的类型一定选择正确,客户端采用证书的方式可以配置为忽略、接收和要求。
