三. 證書服務
1. 證書服務(CA), 證書(數字證書)有何關系
1)證書服務,CA,證書頒發機構 三個稱呼一樣
2)CA是負責頒發證書的,證書是用來加密
2. 證書在現實環境中有何用?
1)加密: 比如通路網銀都是通過 HTTPS 的方式通路。
2)簽名:就是身份驗證;比如在網銀交易的時候所使用的U盾
3. 證書如何擷取
1)向公網的證書提供商購買數字證書(www.verisign.com, www.ssl.com, www.wosign.com)
2 ) 可以在内部伺服器上安裝一個證書服務,從證書伺服器上獲得證書。
4. 從證書提供商購買的證書和内部伺服器上申請的證書,在使用上是不是一樣?
1) 從加密的角度講是一樣的
2) 在預設情況下,從公網上購買的證書,所有計算機都信任此證書,如果是從公司内部伺服器上擷取的證書,所有的計算機都是不信任的。
問題圖下圖
*
5. 為什麼推薦去公網的證書提供商去買證書,而不自己免費的在公司内部去申請證書
在公網購買的證書預設情況下,所有的計算機都信任這張證書,使用者通路的時候不會有任何的警告;
如果自己制作的證書,預設情況所有的作業系統都不會信任,在通路的時候都跳出安全警告窗體。
在公網購買的證書,在使用過程中更加穩定。
6. 對稱加密和非對稱加密
對稱加密: 加密和解密使用同一把密鑰
非對稱加密:
1)非對稱加密必須需要PKI(公共密鑰架構)
2)每個加密的使用者(計算機)必須需要兩把鑰匙:公鑰和私鑰
3)公鑰存在于使用者所申請的證書當中;而私鑰是使用者安裝證書的時候在本地自動生成的。
4)如果用公鑰加密,私鑰解密;如果用私鑰加密,公鑰解密
5)公鑰是公開的,每個人都可以獲得;而私鑰是保密的,隻能自己知道
6)由公鑰無法推算出私鑰
7.實驗:證書服務的部署和基本的應用
需求:
1) 部署好如圖實驗環境
2) 讓Alice能夠通過Http://www.intel.com通路到公網Web Server,并且在防火牆抓包,确認HTTP協定的通路時明文的。
3) 實作Alice能夠通過 HTTPS://www.intel.com通路到公網的Web Server,并且在防火牆上抓包,确認HTTPS協定的通路是加密的。
有如下三種情況會導緻用戶端使用SSL加密時候跳出警告窗體:
1)用戶端不信任SSL加密證書的證書頒發機構
2)目前用戶端的系統時間不在證書的有效期範圍内
3)用戶端通路SSL加密的域名和證書名稱不一緻
8. 證書服務部署和使用注意點
1) 在工作組的環境中,隻能安裝獨立CA; 在AD架構中,可以安裝企業CA和獨立CA;
企業CA好處:可以自動頒發證書,可以和AD架構整合等等
2) 證書伺服器計算機要求比較嚴謹,是以計算機上隻要安裝證書伺服器,計算機的名稱無法修改,計算機無法加入域(目前是工作組),計算無法從域中退出(目前是域)等等
3) 計算機在申請證書前,務必保證這台計算機已經信任的所申請CA
9
---本文檔由聯科教育(http://www.iLync.cn)原創提供,如需轉載請注明出處!---