所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
PKI体系架构

PKI体系架构

图16-7所示,一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。

图16-7  PKI体系架构

  • 终端实体EE(End Entity)

    终端实体也称为PKI实体,它是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、防火墙)或计算机中运行的进程。

  • 证书认证机构CA(Certificate Authority)

    CA是PKI的信任基础,是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构,通常由服务器充当,例如Windows Server 2008。

    图16-8所示,CA通常采用多层次的分级结构,根据证书颁发机构的层次,可以划分为根CA和从属CA。

    • 根CA是公钥体系中第一个证书颁发机构,它是信任的起源。根CA可以为其它CA颁发证书,也可以为其它计算机、用户、服务颁发证书。对大多数基于证书的应用程序来说,使用证书的认证都可以通过证书链追溯到根CA。根CA通常持有一个自签名证书。

    • 从属CA必须从上级CA处获取证书。上级CA可以是根CA或者是一个已由根CA授权可颁发从属CA证书的从属CA。上级CA负责签发和管理下级CA的证书,最下一级的CA直接面向用户。例如,CA2和CA3是从属CA,持有CA1发行的CA证书;CA4、CA5和CA6是从属CA,持有CA2发行的CA证书。

    当某个PKI实体信任一个CA,则可以通过证书链来传递信任,证书链就是从用户的证书到根证书所经过的一系列证书的集合。当通信的PKI实体收到待验证的证书时,会沿着证书链依次验证其颁发者的合法性。

    图16-8  CA层次示意图

    CA的核心功能就是发放和管理数字证书,包括:证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL(Certificate Revocation List)的发布等。

  • 证书注册机构RA(Registration Authority)

    RA是数字证书注册审批机构,RA是CA面对用户的窗口,是CA的证书发放、管理功能的延伸,它负责接受用户的证书注册和撤销申请,对用户的身份信息进行审查,并决定是否向CA提交签发或撤销数字证书的申请。

    RA作为CA功能的一部分,实际应用中,通常RA并不一定独立存在,而是和CA合并在一起。RA也可以独立出来,分担CA的一部分功能,减轻CA的压力,增强CA系统的安全性。

  • 证书/CRL存储库

    由于用户名称的改变、私钥泄露或业务中止等原因,需要存在一种方法将现行的证书吊销,即撤销公钥及相关的PKI实体身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表CRL。

    任何一个证书被撤销以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。因此,CRL提供了一种检验证书有效性的方式。

    证书/CRL存储库用于对证书和CRL等信息进行存储和管理,并提供查询功能。构建证书/CRL存储库可以采用FTP(File Transfer Protocol)服务器、HTTP(Hypertext Transfer Protocol)服务器或者数据库等等。

PKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。

证书申请

证书申请即证书注册,就是一个PKI实体向CA自我介绍并获取证书的过程。通常情况下PKI实体会生成一对公私钥,公钥和自己的身份信息(包含在证书注册请求消息中)被发送给CA用来生成本地证书,私钥PKI实体自己保存用来数字签名和解密对端实体发送过来的密文。

PKI实体向CA申请本地证书有以下两种方式:

  • 在线申请

    PKI实体支持通过SCEP(Simple Certificate Enrollment Protocol)协议向CA发送证书注册请求消息来申请本地证书。

  • 离线申请(PKCS#10方式)

    离线申请是指PKI实体使用PKCS#10格式打印出本地的证书注册请求消息并保存到文件中,然后通过带外方式(如Web、磁盘、电子邮件等)将文件发送给CA进行证书申请。

还有种方式,PKI实体可以为自己颁发一个自签名证书或本地证书,实现简单的证书颁发功能。

证书颁发

PKI实体向CA申请本地证书时,如果有RA,则先由RA审核PKI实体的身份信息,审核通过后,RA将申请信息发送给CA。CA再根据PKI实体的公钥和身份信息生成本地证书,并将本地证书信息发送给RA。如果没有RA,则直接由CA审核PKI实体身份信息。

证书存储

CA生成本地证书后,CA/RA会将本地证书发布到证书/CRL存储库中,为用户提供下载服务和目录浏览服务。

证书下载

PKI实体通过SCEP协议向CA服务器下载已颁发的证书,或者通过HTTP或者带外方式,下载已颁发的证书。该证书可以是自己的本地证书,也可以是CA/RA证书或者其他PKI实体的本地证书。

证书安装

PKI实体下载证书后,还需安装证书,即将证书导入到设备的内存中,否则证书不生效。该证书可以是自己的本地证书,也可以是CA/RA证书,或其他PKI实体的本地证书。

证书验证

PKI实体获取对端实体的证书后,当需要使用对端实体的证书时,例如与对端建立安全隧道或安全连接,通常需要验证对端实体的本地证书和CA的合法性(证书是否有效或者是否属于同一个CA颁发等)。如果证书颁发者的证书无效,则由该CA颁发的所有证书都不再有效。但在CA证书过期前,设备会自动更新CA证书,异常情况下才会出现CA证书过期现象。

PKI实体可以使用CRL或者OCSP(Online Certificate Status Protocol)方式检查证书是否有效。使用CRL方式时,PKI实体先查找本地内存的CRL,如果本地内存没有CRL,则需下载CRL并安装到本地内存中,如果证书在CRL中,表示此证书已被撤销。使用OCSP方式时,PKI实体向OCSP服务器发送一个对于证书状态信息的请求,OCSP服务器会回复一个“有效”(证书没有被撤销)、“过期”(证书已被撤销)或“未知”(OCSP服务器不能判断请求的证书状态)的响应。

证书更新

当证书过期、密钥泄露时,PKI实体必须更换证书,可以通过重新申请来达到更新的目的,也可以使用SCEP协议自动进行更新。

设备在证书即将过期前,先申请一个证书作为“影子证书”,在当前证书过期后,影子证书成为当前证书,完成证书更新功能。

申请“影子证书”的过程,实质上是一个新的证书注册的过程。

证书撤销

由于用户身份、用户信息或者用户公钥的改变、用户业务中止等原因,用户需要将自己的数字证书撤销,即撤销公钥与用户身份信息的绑定关系。在PKI中,CA主要采用CRL或OCSP协议撤销证书,而PKI实体撤销自己的证书是通过带外方式申请。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33801

下载量:972

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页