現(xiàn)任明教教主pki教程.3處理流程與步驟

1、加密技術(shù)基本原理理解PKI的組成部分PKI處理流程與步驟基本密鑰操作與IOS/MS基本PKI排錯(cuò)介紹服務(wù)器6.Cisco SDP技術(shù)介紹/PKI與AAA的集成PKI7.基本認(rèn)證站點(diǎn)到站點(diǎn)（IOS證書(shū)服務(wù)器）層次化務(wù)器）層次化認(rèn)證GET（IOS服認(rèn)證Ez（ASA/Router,IOS10.基本書(shū)服務(wù)器）服務(wù)器）認(rèn)證SSL作者：現(xiàn)任明教教主（ASA，MS證11.802.1x EAP-TLS（MS12.PKI的服務(wù)器）Yeslab安全PKI處理流程與步驟內(nèi)容簡(jiǎn)介內(nèi)容簡(jiǎn)介申請(qǐng)步驟 過(guò)期與更新驗(yàn)證服務(wù)器恢復(fù)第一部分:第二部分:第三部分:第四部分:申請(qǐng)步驟第一部分申請(qǐng)步驟申請(qǐng)步驟第一步：同步時(shí)間時(shí)間是整個(gè)

2、PKI系統(tǒng)的重中之重，必須要先確保參加PKI系統(tǒng)的設(shè)備和主機(jī)的時(shí)間同步。才能開(kāi)始PKI的部署。申請(qǐng)步驟第二步：部署服務(wù)器服務(wù)器是整個(gè)PKI系統(tǒng)的可以選擇Cisco IOS或者微軟的，服務(wù)器。申請(qǐng)步驟第三步：客戶端產(chǎn)生密鑰每一個(gè)實(shí)體在申請(qǐng)產(chǎn)生RSA的密鑰對(duì)。之前，需要預(yù)先申請(qǐng)步驟第四步：驗(yàn)證每一個(gè)實(shí)體需要獲取服務(wù)器服務(wù)器的根，后，里邊包含可以通過(guò)fing服務(wù)器的公鑰。獲取了根r離線驗(yàn)證服務(wù)器。申請(qǐng)步驟第五步：申請(qǐng)個(gè)人每一個(gè)實(shí)體發(fā)送自己的個(gè)人信息和公鑰到服務(wù)器。申請(qǐng)步驟第六步：審核并簽名管理員對(duì)每一個(gè)請(qǐng)求進(jìn)行審核，并且對(duì)個(gè)人信息和公鑰內(nèi)容進(jìn)行數(shù)字簽名，簽名后的文件即為數(shù)字。申請(qǐng)步驟第七步：頒發(fā)數(shù)字

3、服務(wù)器把簽名的頒發(fā)給實(shí)體。申請(qǐng)步驟第八步：交換公鑰，證明實(shí)體與公鑰之間的關(guān)聯(lián)，公交換鑰的具體作用由運(yùn)用來(lái)決定。申請(qǐng)步驟IKE實(shí)例過(guò)期與更新第二部分過(guò)期與更新過(guò)期與更新Auto-EnrollmentWhen aon an end device is going to expire,auto-enrollment obtains a new By configuring auto-enrollment,without disruption. host can request aexpires.newat X time before its localThis feature is used wit

4、h SCEP, and together this provides an automated mechanism for enrollment requests prior toend node（當(dāng)一個(gè)終端設(shè)備expiration.即將超期之前，“auto-enrollment”技術(shù)能夠在不打斷正常工作的前提下，獲取新的。這個(gè)特性需要使用SCEP技術(shù)，為那些即將過(guò)期的終端設(shè)備自動(dòng)申請(qǐng)。）過(guò)期與更新Auto-Enrollment第二部分過(guò)期與更新頒發(fā)方式頒發(fā)方式：服務(wù)器有如下幾種Manual（默認(rèn)） Auto（自動(dòng)頒發(fā)所有.請(qǐng)求）請(qǐng)求）None（所有RA-auto（自動(dòng)允許所有R

5、A來(lái)的請(qǐng)求）自動(dòng)頒發(fā)（auto）又分為如下兩種類型:1.2.2.All Rollover（自動(dòng)頒發(fā)輪轉(zhuǎn)請(qǐng)求）Trustpo（自動(dòng)頒發(fā)被某Trustpo簽名的請(qǐng)求，往往是由于“auto-enrollment”造成的請(qǐng)求。 ）過(guò)期與更新RolloverWhen aon the CA server is going to expire,rollover enables the root CA to obtain a newwithout disruption. By configuring rollover, the CA cangenerate a newat X time before its

6、localexpires. The new, which is called the ive at the precise momentshadowthe current CA（當(dāng)CA服務(wù)器的,eexpires.即將超期，rollover技術(shù)能夠在不打斷正常工作的情況下，讓根置rollover技術(shù)，在本地服務(wù)器獲取一張新的 超時(shí)之前的“X”時(shí)間，。配服（shadow務(wù)器產(chǎn)生一張新。新的也叫做陰影），在當(dāng)前能成為主用。）服務(wù)器超期之后，這張才過(guò)期與更新shadow（1）過(guò)期與更新shadow（2）過(guò)期與更新shadow（3）過(guò)期與更新shadow客戶端同時(shí)擁有原CA（4），Rollover服務(wù)器

7、根和個(gè)人服務(wù)器根和個(gè)人驗(yàn)證第三部分驗(yàn)證驗(yàn)證三種驗(yàn)證方式驗(yàn)證CRL （1.類似于通緝布告吊銷列表）介紹2.time-sted（有效期）3.CA-signed（服務(wù)器簽名）4.客戶周期性輪詢CRL位（http/ldap/ftp.）獲取當(dāng)前CRL。5.管理員一旦吊銷，新的CRL就會(huì)被頒發(fā)，但是新的CRL并不會(huì)立即被客戶獲取，必須等老的CRL超期，才能獲取新的CRL。CRL的主要問(wèn)題：不是實(shí)時(shí)技術(shù)驗(yàn)證OCSP介紹（1）The chief advantage of OnlineSus Protocol(OCSP) ist it provides a realtime update to end user

8、s.OCSPs disadvantage ist it res on third-party software. Arouter cannot aan OCSP server. OCSP as a method ofrevocation checking ipported for end spokes.OCSP的優(yōu)勢(shì):提供實(shí)時(shí)服務(wù) OCSP的缺點(diǎn):需要第IOS Router不支持OCSP服務(wù)器IOS Router作為終端設(shè)備，支持OCSP吊銷方式驗(yàn)證OCSP介紹（2）An OCSP server has two methods to obtaininformation about the va

9、lidity of a. It canreceive periodic updates from a CA by means of a “push” from the CA, or it can periodically poll a CRLdistribution po. This approach is still periodic innature. The periods are much smallern witraditional CRL approach, and simple exchangesoccur betn a CRL distribution poand theOCS

10、P server.OCSP服務(wù)器可以通過(guò)兩種方式獲取有效性信息:周期性的接收源自于CA服務(wù)器“推”過(guò)來(lái)的更新周期性的輪詢CRL分發(fā)點(diǎn)雖然也是周期性工作模式，但是比CRL的周期要小得多。驗(yàn)證OCSP介紹（3）When an end host requests the validity of a to the OCSP server, which contains the, it submits a query s serial number. TheOCSP server can provide a response to the query wisus fort. The sus respon

11、se can be good, unknown, or revoked. Theresponse from the OCSP server can be used immedia does not require local storage space on the router.y and consequentlyOCSP server can have a to others who make requests.ied by the CA to verify its identity，它提交一個(gè)請(qǐng)求到OCSP服務(wù)器，這個(gè)請(qǐng)當(dāng)終端主機(jī)請(qǐng)求驗(yàn)證一張的序列號(hào)。OCSP服務(wù)器提供關(guān)于那張求包含這張

12、狀態(tài)的回應(yīng)。狀態(tài)可能是，good（正常），unknown（未知）和revoked（吊銷）。這個(gè)源自于OCSP的回應(yīng)能夠馬上被使用，不需要占用路由器的本地。OCSP服務(wù)器應(yīng)該擁有CA服務(wù)器頒發(fā)的，用于給發(fā)送請(qǐng)求給它的終端表明自己的。驗(yàn)證集成AAA技術(shù)的PKIFieldshe(such abject and serial number) can bepassed back to a RADIUS server or TACACS server. The server can check the credentials provided to it by the authorizing router

13、 to determine if thedevice is authorized for network acs.的字段（例如:或序列號(hào)）能夠發(fā)送給RADIUS或者TACACS服（務(wù)器。服務(wù)器檢查這些信息，并這個(gè)設(shè)備對(duì)網(wǎng)絡(luò)的）The advantage of using AAA as a solution ist it enables authorizationin addition to authentication. The moment an administrator decides ais no longer authorized, the administrator can mak

14、e the change inthe AAA server, and it is immediay effective. The disadvantage of thesolution is authorizationt it requires manual entry of he AAA server.credentials and優(yōu)勢(shì):在認(rèn)證的基礎(chǔ)之上提供馬上生效。缺點(diǎn):需要在AAA服務(wù)器上手動(dòng)配置認(rèn)證與，能夠限制使用時(shí)間和用途，并且信息。服務(wù)器恢復(fù)第四部分服務(wù)器恢復(fù)服務(wù)器恢復(fù)為什么要恢復(fù)服務(wù)器Sometimes, routers experience hardware failures,

15、 or an administrator might accidentally lose information on arouter. If this router is theauthority, a key partof the network infrastructure is compromised. Consequently, a method should exist to recover from such events without resulting in a catastrophic failure.（某些時(shí)候，路由器會(huì)出現(xiàn)硬件故障，或者管理員偶然丟失了登錄路由器的賬號(hào)

16、。如果這臺(tái)路由器是一臺(tái)服務(wù)器，網(wǎng)絡(luò)框架中一個(gè)關(guān)鍵部分。因此，需要有式在這種情況下，恢復(fù)果。）服務(wù)器，以免造成性后服務(wù)器恢復(fù)服務(wù)器文件1.Database file contains the RSA keys and local.（RSA密鑰和本地）2.The .Ser file has the last serial number ied by the CA.（服務(wù)器頒發(fā)的最后一個(gè)序列號(hào)）3.The .CRL file contains the listsve been revoked.（被吊銷的，吊銷列表）The default location for file storage is on

17、 the local NVRAM. Forum resincy, it is considered best practice to use an external FTPserver to store these files. This external server should not be used for anything else and should have reachability only from the CA servers.Resincy practifor miscritical servers should be appd to thisserver.（默認(rèn)文件在本地NVRAM，最好的辦法是使用一個(gè)外部FTP服務(wù)器來(lái)這些文件。為了安全性考慮，這個(gè)服務(wù)器只能被服務(wù)器）服務(wù)器恢復(fù)外部服務(wù)器配置Optionally placing the CRL file in a different locationnthe URL file. The CRL fiy default would be storedhesame location as the database file.（為了安全性，最好CRL選擇不同的位置。CRL文件默認(rèn)與數(shù)據(jù)庫(kù)文件使用相同的位置）服務(wù)器恢復(fù)恢復(fù)步驟Step 1. Import the databas