在使用任何基於RSA服務之前 ,壹個實體需要真實可靠的獲取其他實體的公鑰。需要有以下保障。
公鑰基礎設施PKI(Public Key Infrastructure),是通過使用公鑰技術和數字證書來提供系統信息安全服務,並負責驗證數字證書持有者身份的壹種體系。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。PKI保證了通信數據的私密性、完整性、不可否認性和 源認證性 。
IPSec身份認證(預***享密鑰方式):
IPSec身份認證(PIK中的證書認證方式):
數字證書:
數字證書簡稱證書,它是壹個經證書授權中心CA數字簽名的文件,包含擁有者的公鑰及相關身份信息。數字證書技術解決了數字簽名技術中無法確定公鑰是指定擁有者的問題。
證書結構:
最簡單的證書包含壹個 公鑰、名稱以及證書授權中心的數字簽名 。壹般情況下證書中還包括密鑰的有效期,頒發者(證書授權中心)的名稱,該證書的序列號等信息,證書的結構遵循X.509 v3版本的規範。如下圖:
證書的各字段解釋:
證書類型
證書格式
CA介紹
證書認證機構CA(Certificate Authority)。CA是PKI的信任基礎,是壹個用於頒發並管理數字證書的可信實體。它是壹種權威性、可信任性和公正性的第三方機構,通常由服務器充當,例如Windows Server 2008。
CA通常采用多層次的分級結構,根據證書頒發機構的層次,可以劃分為根CA和從屬CA。
CA的核心功能就是發放和管理數字證書,包括:證書的頒發、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、證書廢除列表CRL(Certificate Revocation List)的發布等。
有關CA的特性:
CA頒發證書流程
數字證書驗證的過程
圖1
圖2
圖3
證書申請過程
證書申請方式
證書主要有以下申請方式:
證書吊銷方式
證書具有壹個指定的壽命,但 CA 可通過稱為證書吊銷的過程來縮短這壹壽命。CA 發布壹個證書吊銷列表 (CRL),列出被認為不能再使用的證書的序列號。CRL 指定的壽命通常比證書指定的壽命短得多。CA 也可以在 CRL 中加入證書被吊銷的理由。它還可以加入被認為這種狀態改變所適用的起始日期。
可將下列情況指定為吊銷證書的理由:
1. 實驗拓撲
2. 實驗需求
3. IP地址規劃
4. 實驗步驟
步驟1:IP地址及路由配置
步驟2:配置CA服務器的時鐘,Site_1,Site_2向CA同步時鐘。並保證Site_1,Site_2時鐘已同步。
步驟3:部署證書服務器
步驟4:Site_1向證書服務器申請證書
步驟5:Site_2獲取證書
步驟5:部署基礎的站點到站點IPsec VPN配置
步驟6:測試VPN的連通性