PKI(公鑰基礎設施)是利用公鑰技術和數字證書提供系統信息安全服務的系統,負責驗證數字證書持有人的身份。PKI技術是信息安全技術的核心,是電子商務的關鍵和基礎技術。PKI保證了通信數據的私密性、完整性、不可否認性和來源認證。
IPSec身份驗證(預* *密鑰共享方法):
IPSec身份驗證(PIK中的證書身份驗證方法):
數字證書:
數字證書(Digital certificate),簡稱certificate,是由CA進行數字簽名的文件,其中包含所有者的公鑰和相關身份信息。數字證書技術解決了數字簽名技術中公鑰不能確定為指定所有者的問題。
證書結構:
最簡單的證書包含壹個公鑰、壹個名稱和認證機構的數字簽名。壹般來說,證書還包括密鑰的有效期、頒發者(證書頒發機構)的名稱、證書的序列號等信息。證書的結構遵循X.509v3的規範,如下所示:
證書各字段的說明:
證書類型
證書格式
CA簡介
ca(證書頒發機構(CA))。CA是PKI的信任基礎,是頒發和管理數字證書的可信實體。它是壹個權威、可信、任性、公正的第三方機構,通常由服務器提供服務,比如Windows Server 2008。
CA通常采用多級分層結構,根據認證機構的級別分為根CA和下級CA。
CA的核心功能是頒發和管理數字證書,包括證書頒發、證書更新、證書撤銷、證書查詢、證書歸檔、證書撤銷列表(CRL)發布等。
關於CA的特點:
CA證書頒發過程
數字證書驗證的過程
圖1
圖2
圖3
證書申請流程
證書申請方法
證書主要通過以下方式應用:
證書吊銷方法
證書有指定的生存期,但是CA可以通過壹個稱為證書吊銷的過程來縮短該生存期。CA發布證書吊銷列表(CRL ),該列表列出了被認為不再可用的證書的序列號。CRL指定的生存期通常比證書指定的生存期短得多。CA還可以在CRL中添加證書吊銷的原因。它還可以添加被認為適用於此狀態更改的開始日期。
您可以將下列情況指定為吊銷證書的原因:
1.實驗拓撲
2.實驗要求
3.IP地址規劃
4.實驗步驟
步驟1: IP地址和路由配置
步驟2:配置CA服務器的時鐘。Site_1和Site_2與CA同步時鐘。並確保Site_1和Site_2的時鐘同步。
步驟3:部署證書服務器
第四步:Site _ 1向證書服務器申請證書。
步驟5:站點2獲取證書
步驟5:部署基本的站點到站點IPsec VPN配置。
步驟6:測試VPN連通性。