- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-PKI
本章節下載: 21-PKI (337.01 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 數字證書和CRL
○ PKI體係結構
○ 主要應用
○ 管理證書
○ 證書訪問控製策略
PKI(Public Key Infrastructure,公鑰基礎設施)是一個利用公鑰理論和技術來實現並提供信息安全服務的具有通用性的安全基礎設施。
PKI係統以數字證書的形式分發和使用公鑰。基於數字證書的PKI係統,能夠為網絡通信和網絡交易(例如電子政務和電子商務)提供各種安全服務。目前,設備的PKI係統可為安全協議IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接字層)提供證書管理機製。
數字證書是經CA(Certificate Authority,證書頒發機構)簽名的、包含公鑰及相關的用戶身份信息的文件,它建立了用戶身份信息與用戶公鑰的關聯。CA對數字證書的簽名保證了證書是可信任的。數字證書中包含多個字段,包括證書簽發者的名稱、被簽發者的名稱、公鑰信息、CA對證書的數字簽名、證書的有效期等。
本文涉及兩類證書:CA證書、本地證書。
· CA證書是CA持有的證書。若PKI係統中存在多個CA,則會形成一個CA層次結構,最上層的CA是根CA,它持有一個自簽名的證書(即根CA對自己的證書簽名),下一級CA證書分別由上一級CA簽發。這樣,從根CA開始逐級簽發的證書就會形成多個可信任的鏈狀結構,每一條路徑稱為一個證書鏈。
· 本地證書是本設備持有的證書,由CA簽發。
由於用戶名稱的改變、私鑰泄漏或業務中止等原因,需要存在一種方法將現行的證書吊銷,即廢除公鑰及相關的用戶身份信息的綁定關係。在PKI係統中,可以通過發布CRL(Certificate Revocation List,證書吊銷列表)的方式來公開證書的吊銷信息。當一個或若幹個證書被吊銷以後,CA簽發CRL來聲明這些證書是無效的,CRL中會列出所有被吊銷的證書的序列號。因此,CRL提供了一種檢驗證書有效性的方式。設備支持開啟CRL自動更新功能,並指定CRL的更新周期。到達指定的更新周期後,設備會自動連接CRL發布點來獲取CRL。
一個PKI體係由證書主題、CA、RA和證書/CRL發布點四類實體共同組成。
證書主題是PKI服務的最終使用者,可以是個人、組織、設備或計算機中運行的進程。一份證書是一個公鑰與一個實體身份信息的綁定。證書主題的參數是證書主題的身份信息,CA根據證書主題提供的身份信息來唯一標識證書申請者。
一個有效的證書主題參數中必須至少包括以下參數之一:
1. 證書主題名稱,包含以下參數:
○ 通用名。證書主題的通用名必須配置。
○ 國家代碼,用標準的兩字符代碼表示。例如,“CN”是中國的合法國家代碼,“US”是美國的合法國家代碼
○ 州或省的名稱
○ 地理區域名稱
○ 組織名稱
○ 組織部門名稱
2. FQDN(Fully Qualified Domain Name,完全合格域名),是PKI實體在網絡中的唯一標識
3. IP地址
CA是一個用於簽發並管理數字證書的可信PKI實體。其作用包括:簽發證書、規定證書的有效期和發布CRL。
RA是一個受CA委托來完成PKI實體注冊的機構,它接收用戶的注冊申請,審查用戶的申請資格,並決定是否同意CA給其簽發數字證書,用於減輕CA的負擔。建議在部署PKI係統時,RA與CA安裝在不同的設備上,減少CA與外界的直接交互,以保護CA的私鑰。
證書/CRL發布點用於對用戶證書和CRL進行存儲和管理,並提供查詢功能。通常,證書/CRL發布點位於一個目錄服務器上,該服務器可以采用LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)協議、HTTP等協議工作。其中,較為常用的是LDAP協議,它提供了一種訪問發布點的方式。LDAP服務器負責將CA/RA服務器傳輸過來的數字證書或CRL進行存儲,並提供目錄瀏覽服務。用戶通過訪問LDAP服務器獲取自己和其他用戶的數字證書或者CRL。
PKI技術能滿足人們對網絡交易安全保障的需求。PKI的應用範圍非常廣泛,並且在不斷發展之中,下麵給出幾個應用實例。
VPN是一種構建在公用通信基礎設施上的專用數據通信網絡,它可以利用網絡層安全協議(如IPsec)和建立在PKI上的加密與數字簽名技術來獲得完整性保護。
電子郵件的安全也要求機密性、完整性、數據源認證和不可抵賴。目前發展很快的安全電子郵件協議S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet郵件擴充協議),是一個允許發送加密和有簽名郵件的協議。該協議的實現需要依賴於PKI技術。
為了透明地解決Web的安全問題,在瀏覽器和服務器之間進行通信之前,先要建立SSL連接。SSL協議允許在瀏覽器和服務器之間進行加密通信,並且利用PKI技術對服務器和瀏覽器端進行身份驗證。
設備基於PKI域管理證書,並為相關應用(比如IPsec、SSL)基於PKI域提供證書服務。PKI域是一個本地概念,一個PKI域中包括了證書申請操作相關的信息,例如證書主題名稱、證書申請使用的密鑰對、證書的擴展用途等。
導入證書是指,將證書主題有關的CA證書、本地證書導入到PKI域中保存。如果設備所處的環境中沒有證書的發布點、CA服務器不支持通過SCEP協議與設備交互、或者證書對應的密鑰對由CA服務器生成,則可采用此方式獲取證書。
證書導入之前:
· 需要通過FTP、TFTP等協議將證書文件傳送到設備的存儲介質中。
· 必須存在簽發本地證書的CA證書鏈才能成功導入本地證書,這裏的CA證書鏈可以是保存在設備上的PKI域中的,也可以是本地證書中攜帶的。因此,若設備和本地證書中都沒有CA證書鏈,則需要首先執行導入CA證書的操作。
導入本地證書時:
· 如果用戶要導入的本地證書中含有CA證書鏈,則可以通過導入本地證書的操作一次性將CA證書和本地證書均導入到設備。
· 如果要導入的本地證書中不含有CA證書鏈,但簽發此本地證書的CA證書已經存在於設備上的任一PKI域中,則可以直接導入本地證書。
· 如果要導入的證書文件中包含了根證書,則需要確認該根證書的指紋信息是否與用戶的預期一致。用戶需要通過聯係CA服務器管理員來獲取預期的根證書指紋信息。
· 如果導入的本地證書中包含了密鑰對,則需要輸入密鑰對口令。用戶需要聯係CA服務器管理員取得口令的內容。導入過程中,係統首先根據查找到的PKI域中已有的密鑰對配置來保存該密鑰對。若PKI域中已保存了對應的密鑰對,則設備會提示用戶選擇是否覆蓋已有的密鑰對。若該PKI域中沒有任何密鑰對的配置,則設備會根據證書中的密鑰對的算法及證書的密鑰用途,生成與PKI域名同名的密鑰對。如果已經存在密鑰對,此時用戶需要指定一個名稱和本地保存的密鑰對名稱不同的密鑰對。
導入CA證書時:
· 如果要導入的CA證書為根CA或者包含了完整的證書鏈(即含有根證書),則可以導入到設備。
· 如果要導入的CA證書沒有包含完整的證書鏈(即不含有根證書),但能夠與設備上已有的CA證書拚接成完整的證書鏈,則也可以導入到設備;如果不能與設備上已有的CA證書拚接成完成的證書鏈,則不能導入到設備。
PKI域中已存在的CA證書、本地證書可以導出到文件中保存,導出的證書可以用於證書備份或供其它設備使用。
請求證書的過程就是證書主題向CA自我介紹的過程。證書主題向CA提供身份信息,以及相應的公鑰,這些信息將成為頒發給該證書主題證書的主要組成部分。設備可以為證書主題生成證書申請信息,之後由用戶通過帶外方式(如電話、電子郵件等)將該信息發送給CA進行證書申請。
在請求本地證書之前,必須保證當前的PKI域中已經存在CA證書且指定了證書請求時使用的密鑰對。
· PKI域中的CA證書用來驗證獲取到的本地證書的真實性和合法性。
· PKI域中指定的密鑰對用於為PKI實體申請本地證書,其中的公鑰和其他信息交由CA進行簽名,從而產生本地證書。
生成證書申請時,如果本地不存在PKI域中所指定的密鑰對,則係統會根據PKI域中指定的名字、算法和長度自動生成對應的密鑰對。
通過配置證書的訪問控製策略,可以對安全應用中的用戶訪問權限進行進一步的控製,保證了與之通信的服務器端的安全性。例如,在HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)應用中,HTTPS服務器可以通過引用證書訪問控製策略,根據自身的安全需要對客戶端的證書合法性進行檢測。
一個證書訪問控製策略中可以定義多個證書屬性的訪問控製規則,每一個訪問控製規則都與一個證書屬性組關聯。一個證書屬性組是一係列屬性規則的集合,這些屬性規則是對證書的頒發者名、主題名以及備用主題名進行過濾的匹配條件。
如果一個證書中的相應屬性能夠滿足一條訪問控製規則所關聯的證書屬性組中所有屬性規則的要求,則認為該證書和該規則匹配。如果一個證書訪問控製策略中有多個規則,則按照規則顯示順序從上到下遍曆所有規則,一旦證書與某一個規則匹配,則立即結束檢測,不再繼續匹配其它規則。
規則的匹配結果決定了證書的有效性,具體如下:
· 如果證書匹配到的規則中指定了“允許”動作,則該證書將被認為通過了訪問控製策略的檢測且有效。
· 如果證書匹配到的規則中指定了“拒絕”動作,則該證書將被認為未通過訪問控製策略的檢測且無效。
· 若遍曆完所有規則後,證書沒有與任何規則匹配,則該證書將因不能通過訪問控製策略的檢測而被認為無效。
· 若安全應用(如HTTPS)引用的證書訪問控製策略不存在,則認為該應用中被檢測的證書有效。
· 證書主題的配置必須與CA證書頒發策略相匹配,因此建議根據CA證書頒發策略來配置證書主題,如哪些證書主題參數為必選配置,哪些為可選配置。申請者的身份信息必須符合CA證書頒發策略,否則證書申請可能會失敗。
· Windows 2000 CA服務器的SCEP插件對證書申請的數據長度有一定的限製。證書主題配置項超過一定數據長度時,CA將不會響應證書主題的證書申請。這種情況下如果通過離線方式提交申請,Windows 2000 CA服務器可以完成簽發。其它CA服務器(例如RSA服務器和OpenCA服務器)目前沒有這種限製。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
