※PKI
即Public Key Infrastructure ,公開金鑰基礎結構
PKI的功用:<1>將資料加密
<2>驗證使用者的身分
<3>確認資料的完整性
金鑰分為公開及私密金鑰,公開金鑰是給其他使用者使用,而私密金鑰則是使用者自己私人的,而要擁有金鑰,必須透過向CA憑證授權單位申請憑證。
※公開金鑰加密法
在郵件部分,寄件者以收件者的公開金鑰用來將資料加密、解密。而收件者再利用自己的私密金鑰去做解密的功用,而公開金鑰加密法可分為兩種:一種為對稱式加密法,一種為非對稱式加密法。對稱式加密法則是加密解密都是使用同一個金鑰;非對稱式加密法則是加密與解密使用的金鑰不同,公開金鑰負責加密,私密金鑰負責解密。
※網站安全連線
SSL:Secure Socket Layer
向CA申請SSL憑證
而URL路徑則會由 http 變成 https
※工作階段金鑰 ref:6-6圖
P.S一金鑰只用在一個section
※CA ref:6-6
CA授權憑證的數位簽章的模式,可想像成汽車駕照上的交通部官戳。
CSP產生金鑰(公開、私密)
檢查憑證可經由 Browser→工具 →網際網路選項→內容→憑證→信任的根憑證授權
※自己架設 CA
若主分公司之間資料的傳送,為了安全性,因此自己內部建立根CA,讓網域內去向自己建立的CA申請憑證,可做到資料傳送的保護。
P.S 若在公司內寄信給外面的朋友,朋友收信時會警告是因為其電腦不信任此CA,因為此CA憑證是在公司內部使用,外面無法辨識。(EX:國際駕照與台灣駕照在國外使用的情況。)
※安裝AD CS
以大方向可分為根CA與次級CA
而又可再分為企業根CA與獨立根CA。
根CA負責發送憑證給次級CA,而面對使用者的則是交由次級CA來做。
P.S我們練習的環境是只有一個根CA,所以等於是使用者直接面對根CA,情況要注意。
而2003的CA是CS 2008則命名為AD CS 。
CS:Certificate Services
開始→控制台→新增/移除程式→Windows元件→ Certificate Services(會出現警告不能修改名稱及網域等)
即表示這5年內期間,都能向此CA申請憑證。
P.S <1>倘若申請的項目超過年數,例如CA剩餘有效期限為6個月,而所申請項目的憑證為1年,則他所發送給使用者的憑證則為6個月。
P.S <2>盡量先建立好IIS再建立CA,因為在IIS下他會建立CA的虛擬目錄,倘若先建立CA再建立IIS,只要在自行將虛擬目錄打上去即可解決此問題。
※企業根CA
AD網域會透過"群組原則"來讓網域內的所有使用者與電腦自動信任企業根CA。
即自動將企業根CA的憑證安裝到用戶端電腦內。
※手動信任企業或獨立根CA
在BROWSER上連線至 http://CA主機名稱、電腦名稱或IP / certsrv
下圖範例為連線至 http://IP/certsrv
P.S使用者用BROWSER對電腦,CA憑證是安裝在使用者憑證存放區;ISA SERVER對電腦,即是電腦對電腦,則CA憑證是安裝在電腦存放區。
下載CA憑證連結
執行:MMC→選取憑證→使用者
信任的憑證授權→右鍵內容→匯入
P.S 注意建立新憑證的時候,網站的"一般名稱"必須打完整的網頁EX:www.sayms.com
即網頁必須打 https://www.sayms.com/
※申請憑證 ref:6-21
在IIS那台輸入192.168.0.1/certsrv
選要求憑證→進階憑證要求,再來發放憑證
P.S http port 為80 https ports 為 443
※針對預設網站 VIDEO去做 SSL →右鍵內容→目錄安全設定→安全通訊→編輯→必須使用安全通道(SSL)打勾。 且右下面有個鎖(SSL)
有各種情況:
信任CA移除
※安全性憑證時間過期
※用BROWSER申請憑證 REF:6-35、39
※申請憑證可由手動改成自動核準
在CA→右鍵內容→原則模組→內容→自動發行打勾即可
※安全性憑證與簽章的圖形範例
<圖一>
而<圖二>則為MARY收到GEORGE信時,則會擁有GEORGE的公開金鑰(在數位辨識碼地方)
<圖二>
注意:一開始寄給MARY信不能加密只能簽章是因為沒有MARY的公開金鑰!
而當MARY擁有GEORGE的公開金鑰之後,即可寄封加密的信件給GEORGE,如<圖三>
<圖三>
※撤銷憑證 REF:6-66
※憑證撤銷清單CRL
有下列兩種選擇
新的CRL
只有Delta CRL
※憑證匯出
在MMC或BROWSER都可將憑證匯出
※申請一個可以匯出私密金鑰的憑證 REF:6-72
注意:將金鑰標示成可匯出須打勾!
如下圖
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。