PKI个人学习笔记.pdf

PKI 个人学习笔记 目 录 一、PKI 理论2 1.1 什么是PKI？2 1.2 证书的组成部分2 1.2.1 证书的内容2 1.2.2 扩展3 1.3 X.509v34 1.4 X.500 DN4 1.5 PEM(Privacy Enhanced Mail)5 1.6 SCEP5 1.7 PKCS 系列标准5 1.8 证书服务器介绍6 1.8.1 证书服务器的角色和功能6 1.8.2 私有与公开的CA6 1.9 层次化PKI7 1.9.1 下组附属证书服务器（Sub-CA）子CA7 1.9.2 注册授权服务器（RA）7 1.10 密钥和证书存储7 1.10.1 一般操作7 1.10.2 证书存储8 1.10.3 Smartcards8 二、PKI 处理流程与步骤9 2.1 证书申请步骤9 2.2 证书颁发方式10 2.3 证书验证方式11 2.3.1 CRL 证书吊销列表11 2.3.2 OCSP11 2.3.3 集成AAA 技术的PKI12 2.4 证书服务器恢复12 三、基于IOS 的PKI 配置13 3.1 基本配置13 3.2 吊销列表CRL16 四、基于微软的PKI 配置18 五、CA 认证之L2LVPN26 六、SUB_CA 认证之EzVPN33 PKI 个人学习笔记 一、PKI 理论 1.1 什么是PKI？ PKI （Public Key Infrastructure）：从字面的解释就是公共密钥基础设施。 也可以说成是一个服务框架。主要用来需要用于大范围使用公钥技术的。 CA （Certificate Authority）:一个中心的授权机构（表示是可任信的第三 方），主要作用于为PKI 网络中签名所有实体的公钥，发证书給客户。就类似于 我们生活中的公安局，专门负责发放身份证的。 证书（Certificates）:一个被CA 数字签名的文件，用于绑定个人信息和公 钥。就类似于身份证一样。 1.2 证书的组成部分 证书分四个部分来说：个人信息、属性、公钥、证书服务器的签名。用一句 话可以概括起来：证书服务器证明（数字签名），某一个公钥和某一实体（个人 信息）之间有关联关系，并且限制这张证书使用规则（属性）。 个人信息：比如可以是姓名，部门、公司、国家等等. 公 钥：对称密钥所产生的公钥。 签 名：也就是用CA 的私钥所做的签名。这样可以验证CA。因为只有CA 的公钥可以解密。 属 性：比如时间、或用途等，用于VPN、验证客户端等等。 1.2.1 证书的内容 A．Verxion(版本):有1、2、3 的版本，目前最新的用的是X.509v3. B.Serial number(序列号)：唯 一标识某一证书服务器所颁发的证书。 C．Algorithm ID(签名算法)：标识证书服务签名证书时使用的算法。RSA PKI 个人学习笔记 和SHA，一个用来做哈希一个用来做来加密哈希值。 D．Issuser(颁发者)：颁发证书的证书服务器的个人信息。 E．Validity period(有效期)：证书的有效时间。 F．Subject Name(使用者)：使用者的个人信息，使用X.500 DN 的命名方式。 G．Public Key Algorithm(公钥算法)：主要是RSA 或者是DSA。 H．Subject Public Key(