信息安全導(dǎo)論課程ch認(rèn)證應(yīng)用系統(tǒng)

密碼編碼學(xué)與網(wǎng)絡(luò)安全

電子工業(yè)出版社2006-2007第14章認(rèn)證應(yīng)用系統(tǒng)14.1Kerberos ↓14.2X.509/CA ↓14.3公鑰基礎(chǔ)設(shè)施PKI ↓* 14.aPKIinWindows ↓* 14.bEJBCA ↓* 14.cOpenCA ↓* 14.dCAwithOpenSSL ↓認(rèn)證系統(tǒng)Kerberos主要是局域網(wǎng)上的認(rèn)證系統(tǒng)，它早期基于對(duì)稱(chēng)算法，封裝了加密、鑒別等安全服務(wù)，提供了統(tǒng)一的用戶(hù)接口。后期Kerberos也開(kāi)始支持公鑰，使用證書(shū)。PKI/CA好像是解決電子商務(wù)安全的正確道路。CA是一個(gè)離線(xiàn)中心，因此適合互聯(lián)網(wǎng)這種分布式又管理松散的環(huán)境。但是維護(hù)一個(gè)CA(不管是商用CA或自己獨(dú)立的CA)給人的感覺(jué)是過(guò)于復(fù)雜。14.1KerberosLAN上的安全KerberosKerberosinWindowsKerberosinLinuxLAN上安全服務(wù)器、工作站、用戶(hù)用戶(hù)使用工作站訪(fǎng)問(wèn)服務(wù)器資源局域網(wǎng)上安全問(wèn)題竊聽(tīng)導(dǎo)致泄密重放攻擊假冒用戶(hù)，用戶(hù)盜用工作站假冒工作站，工作站地址被盜用對(duì)應(yīng)的可能安全方法工作站核認(rèn)用戶(hù)身份 工作站向服務(wù)器證實(shí)自己的身份(信任用戶(hù)身份)用戶(hù)和服務(wù)器相互認(rèn)證/鑒別Kerberos動(dòng)機(jī)目標(biāo)防竊聽(tīng)，防假冒透明，只要輸入一個(gè)口令可靠，合法性的唯一標(biāo)識(shí)依據(jù)就是獲得KB訪(fǎng)問(wèn)可擴(kuò)展伸縮性，適應(yīng)模塊化和分布式服務(wù)鑒別Authentication授權(quán)Authorization記帳AccountingKerberos閱讀Kerberosv4的啟發(fā)協(xié)議V4核心舉例C是客戶(hù)、V是服務(wù)器、AS是鑒別服務(wù)器C－>AS：IDc＋Pc＋I(xiàn)Dv，Pc是c的口令C<－AS：Ticket＝Ekv(IDc＋ADc＋I(xiàn)Dv)ADc是C的網(wǎng)絡(luò)地址，kv是AS和V的共享密鑰C－>V：IDc＋Ticket問(wèn)題Pc的明文傳輸用戶(hù)口令的一次輸入，重復(fù)使用票據(jù)的生存周期對(duì)服務(wù)器的鑒別Kerberosv4Overview

Kerberosv4請(qǐng)求求域域間間服服務(wù)務(wù)Kerberosv4MessageKerberosv5改進(jìn)進(jìn)不僅僅依依賴(lài)賴(lài)于于DES不僅僅使使用用IP協(xié)議議使用用ASN.1/BER數(shù)據(jù)據(jù)編編碼碼規(guī)規(guī)則則擴(kuò)展展了了票票據(jù)據(jù)有有效效期期鑒別別的的轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)(代理理/轉(zhuǎn)讓讓)加強(qiáng)強(qiáng)了了領(lǐng)領(lǐng)域域間間的的鑒鑒別別能能力力省去去了了不不必必要要的的雙雙重重加加密密PCBC－CBC增強(qiáng)強(qiáng)了了抗抗口口令令攻攻擊擊的的能能力力增加加了了一一票票據(jù)據(jù)對(duì)對(duì)會(huì)會(huì)話(huà)話(huà)密密鑰鑰的的能能力力Kerberosv5MessageKerberos中中的的passwd、、key、、encpasswdkeyn個(gè)字字符符的的串串7n個(gè)比比特特序序列列往返返56b折疊疊并并xor56bitDESkey－PCBCCn＝Ek(Cn-1XORPn-1XORPn)KerberosDistributionKerberosinWindows密鑰鑰發(fā)發(fā)行行中中心心(KDC)一種種網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)，，提提供供在在KerberosV5身份份驗(yàn)驗(yàn)證證協(xié)協(xié)議議中中使使用用的的會(huì)會(huì)話(huà)話(huà)票票證證和和臨臨時(shí)時(shí)會(huì)會(huì)話(huà)話(huà)密密鑰鑰。。票證證用于于安安全全原原則則的的標(biāo)標(biāo)識(shí)識(shí)數(shù)數(shù)據(jù)據(jù)集集，，是是為為了了進(jìn)進(jìn)行行用用戶(hù)戶(hù)身身份份驗(yàn)驗(yàn)證證而而由由域域控控制制器器發(fā)發(fā)行行的的。。Windows中的的兩兩種種票票證證形形式式是是票票證證授授予予式式票票證證(TGT)和服服務(wù)務(wù)票票證證。。票證證授授予予式式票票證證(TGT)用戶(hù)戶(hù)登登錄錄時(shí)時(shí)，，Kerberos密鑰鑰分分發(fā)發(fā)中中心心(KDC)頒發(fā)發(fā)給給用用戶(hù)戶(hù)的的憑憑據(jù)據(jù)。。當(dāng)當(dāng)服服務(wù)務(wù)要要求求會(huì)會(huì)話(huà)話(huà)票票證證時(shí)時(shí)，，用用戶(hù)戶(hù)必必須須向向KDC遞交交TGT。因因?yàn)闉門(mén)GT對(duì)于于用用戶(hù)戶(hù)的的登登錄錄會(huì)會(huì)話(huà)話(huà)活活動(dòng)動(dòng)通通常常是是有有效效的的，，它它有有時(shí)時(shí)稱(chēng)稱(chēng)為為““用用戶(hù)戶(hù)票票證證””。。票證證授授予予服服務(wù)務(wù)(TGS)由““KerberosV5密鑰鑰分分發(fā)發(fā)中中心心(KDC)””服務(wù)務(wù)提提供供的的一一種種KerberosV5服務(wù)務(wù)，，它它在在域域中中發(fā)發(fā)行行允允許許用用戶(hù)戶(hù)驗(yàn)驗(yàn)證證服服務(wù)務(wù)的的服服務(wù)務(wù)票票證證。。KerberosinWindows(2k3)KerberosV5身份份驗(yàn)驗(yàn)證證KerberosV5是在在域域中中進(jìn)進(jìn)行行身身份份驗(yàn)驗(yàn)證證的的主主要要安安全全協(xié)協(xié)議議；；同同時(shí)時(shí)要要驗(yàn)驗(yàn)證證用用戶(hù)戶(hù)的的身身份份和和網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)。。KerberosV5工作作原原理理概概述述KerberosV5身份份驗(yàn)驗(yàn)證證機(jī)機(jī)制制頒頒發(fā)發(fā)用用于于訪(fǎng)訪(fǎng)問(wèn)問(wèn)網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)的的票票證證。。這這些些票票證證包包含含加加密密的的數(shù)數(shù)據(jù)據(jù)，，其其中中包包括括加加密密的的密密碼碼，，用用于于向向請(qǐng)請(qǐng)求求的的服服務(wù)務(wù)確確定定用用戶(hù)戶(hù)的的身身份份。。除了了輸輸入入密密碼碼或或智智能能卡卡憑憑據(jù)據(jù)，，整整個(gè)個(gè)身身份份驗(yàn)驗(yàn)證證過(guò)過(guò)程程對(duì)對(duì)用用戶(hù)戶(hù)都都是是不不可可見(jiàn)見(jiàn)的的。。KerberosV5中的的一一項(xiàng)項(xiàng)重重要要服服務(wù)務(wù)是是密密鑰鑰發(fā)發(fā)行行中中心心(KDC)。KDC作為為ActiveDirectory目錄錄服服務(wù)務(wù)的的一一部部分分在在每每個(gè)個(gè)域域控控制制器器上上運(yùn)運(yùn)行行，，它它存存儲(chǔ)儲(chǔ)了了所所有有客客戶(hù)戶(hù)端端密密碼碼和和其其他他帳帳戶(hù)戶(hù)信信息息。。-KerberosV5身份份驗(yàn)驗(yàn)證證過(guò)過(guò)程程按按如如下下方方式式工工作作：：(1)客戶(hù)戶(hù)端端上上的的用用戶(hù)戶(hù)使使用用密密碼碼或或智智能能卡卡向向KDC進(jìn)行行身身份份驗(yàn)驗(yàn)證證。。(2)KDC為此此客客戶(hù)戶(hù)頒頒發(fā)發(fā)一一個(gè)個(gè)特特別別的的票票證證授授予予式式票票證證。。客客戶(hù)戶(hù)端端系系統(tǒng)統(tǒng)使使用用TGT訪(fǎng)問(wèn)問(wèn)票票證證授授予予服服務(wù)務(wù)(TGS)，這這是是域域控控制制器器上上的的KerberosV5身份份驗(yàn)驗(yàn)證證機(jī)機(jī)制制的的一一部部分分。。(3)TGS接著著向向客客戶(hù)戶(hù)頒頒發(fā)發(fā)服服務(wù)務(wù)票票證證。。(4)客戶(hù)戶(hù)向向請(qǐng)請(qǐng)求求的的網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)出出示示服服務(wù)務(wù)票票證證。。服服務(wù)務(wù)票票證證向向此此服服務(wù)務(wù)證證明明用用戶(hù)戶(hù)的的身身份份，，同同時(shí)時(shí)也也向向該該用用戶(hù)戶(hù)證證明明服服務(wù)務(wù)的的身身份份。。KerberosV5服務(wù)務(wù)安安裝裝在在每每個(gè)個(gè)域域控控制制器器上上，，每每個(gè)個(gè)域域控控制制器器作作為為KDC使用用。。域域控控制制器器在在用用戶(hù)戶(hù)登登錄錄會(huì)會(huì)話(huà)話(huà)中中作作為為該該用用戶(hù)戶(hù)的的首首選選KDC運(yùn)行行。。Kerberos客戶(hù)戶(hù)端端安安裝裝在在每每個(gè)個(gè)工工作作站站和和服服務(wù)務(wù)器器上上。?？涂蛻?hù)戶(hù)端端使使用用域域名名服服務(wù)務(wù)(DNS)定位位最最近近的的可可用用域域控控制制器器。。如如果果首首選選KDC不可可用用，，系系統(tǒng)統(tǒng)將將定定位位備備用用的的KDC來(lái)提提供供身身份份驗(yàn)驗(yàn)證證。。Windows域域了解解以以下下概概念念WindowsServerDomain/ActiveDirectoryWorkstationjointheDomainLoginintoaDomainResourceinaDomain并練練習(xí)習(xí)驗(yàn)驗(yàn)證證相相關(guān)關(guān)概概念念使用用虛虛擬擬機(jī)機(jī)VmwareKerberosinLinuxKerberosinLinux/etc/krb5.confdefault_realm=GNUD.IE[realms]GNUD.IE={kdc=kerberos1.gnud.ie:88kdc=kerberos2.gnud.ie:88admin_server=kerberos1.gnud.ie:749default_domain=gnud.ie}[domain_realm].gnud.ie=GNUD.IEgnud.ie=GNUD.IEKerberosinLinuxToinitializeandcreatetheKerberosdatabase:#/usr/Kerberos/sbin/kdb5_utilcreate-sedittheaclfiletograntadministrativeaccess/etc/krb5.conf/var/Kerberos/krb5kdc/kdc.conf/var/Kerberos/krb5kdc/kadm5.aclanyaccountwhichendswitha/adminintheGNUD.IErealmisgrantedfullaccessprivileges:*/admin@GNUD.IE*KerberosinLinuxCreateadministrativeuser#/usr/Kerberos/sbin/kadmin.local-q"addprincadmin/admin"Tostartautomatically#/sbin/chkconfigkrb5kdcon#/sbin/chkconfigkadminonStartupmanually#/etc/rc.d/init.d/krb5kdcstart#/etc/rc.d/init.d/kadminstartCreatetheuserprincipal#kadmin.localKerberosinLinuxTimeSynchronizationTheNetworkTimeProtocol(NTP)NTPpackage/etc/ntp.confKerberosinLinuxClientpackagekrb5-workstation/etc/krb5.conf/var/Kerberos/krb5kdc/kdc.confTestKerberosauthenticationusingthekinit$kinit<username>theKDClog(serverside)/var/log/Kerberos/krb5kdc.logKerberosinLinuxAdditionalResources14.2X.509/CAX509定義了了公鑰鑰認(rèn)證證服務(wù)務(wù)框架架。Certificate證書(shū)印印象PKI/X.509CAinWin2kEJBCACertificate證證書(shū)印印象證書(shū)是是可靠靠發(fā)布布公鑰鑰的載載體公鑰及及其持持有人人信息息其他信信息(用途、、有效效期、、)簽發(fā)人人及其其簽名名(對(duì)上面面信息息)例子解解析見(jiàn)見(jiàn)備注注行X.509分發(fā)公公鑰證書(shū)格格式內(nèi)容、、格式式和編編碼、、簽名名鑒別協(xié)協(xié)議X509中推薦薦的協(xié)協(xié)議應(yīng)用IPSec、SSL/TLS、SET、S/MIME、PGP、…RFC2459InternetX.509PublicKeyInfrastructureCertificateandCRLProfile從公鑰鑰到證證書(shū)審核證書(shū)格格式版本序列號(hào)號(hào)簽名算算法標(biāo)標(biāo)識(shí)其參數(shù)數(shù)簽發(fā)者者名字字不早于于，不不遲于于主題名名(持有人人名)算法標(biāo)標(biāo)識(shí)其參數(shù)數(shù)公鑰簽發(fā)人人標(biāo)識(shí)識(shí)(重名)持有人人標(biāo)識(shí)識(shí)擴(kuò)展簽名算算法參數(shù)簽名X509v3擴(kuò)擴(kuò)展展V3以可選選擴(kuò)展展項(xiàng)的的形式式體現(xiàn)現(xiàn)(擴(kuò)展名名字，，值，，是否否可忽忽略)密鑰標(biāo)標(biāo)識(shí)符符密鑰用用途簽名、、加密密、密密鑰交交換、、CA等組合合私鑰使使用期期限對(duì)應(yīng)的的公鑰鑰一般般有更更長(zhǎng)的的期限限以用用于驗(yàn)驗(yàn)證策略信信息等等頒發(fā)者者和持持有人人的更更多信信息證書(shū)路路徑的的約束束信息息ASN.1編碼解解析#opensslasn1parse-inroot.pem-dump證書(shū)中中心CACertificateAuthority權(quán)威的的證書(shū)書(shū)簽發(fā)發(fā)者接受請(qǐng)請(qǐng)求、、審核核、(收費(fèi))、簽發(fā)發(fā)商業(yè)CA機(jī)構(gòu)CertificateRequest申請(qǐng)人人產(chǎn)生生自己己的公公鑰(私鑰)提交PKCS#10格式的的申請(qǐng)請(qǐng)公鑰、、自己己的身身份信信息，，用戶(hù)戶(hù)自己己的簽簽名審核頒頒發(fā)面對(duì)面面的交交涉;代理RA證書(shū)發(fā)發(fā)布X500目錄;在線(xiàn)交交換證書(shū)的的獲得得等問(wèn)問(wèn)題證書(shū)是是公開(kāi)開(kāi)的，，不需需保密密這很好好信任對(duì)證書(shū)書(shū)的信信任基基于對(duì)對(duì)中心心的信信任CA是分層層次的的以減輕輕負(fù)載載和壓壓力(尤其是是審核核)對(duì)多個(gè)個(gè)中心心的信信任分散了了風(fēng)險(xiǎn)險(xiǎn)，也也引入入了風(fēng)風(fēng)險(xiǎn)證書(shū)的的自證證明前提:已經(jīng)有有CA的公鑰鑰CA公鑰一一般是是自簽簽名證證書(shū)的的形式式必須可可靠的的獲得得，離離線(xiàn)手手工取得對(duì)對(duì)方的的證書(shū)書(shū)證書(shū)是是公開(kāi)開(kāi)的，，不需需保密密查目錄錄；在在線(xiàn)交交換判斷證證書(shū)是是否有有效驗(yàn)證證證書(shū)中中的簽簽名是是否是是CA的真實(shí)實(shí)簽名名(只是說(shuō)說(shuō)這個(gè)個(gè)證書(shū)書(shū)是有有效的的)信任關(guān)關(guān)系信任信任CA信任CA的簽名名信任CA簽發(fā)的的證書(shū)書(shū)信任該該持有有人擁?yè)碛羞@這個(gè)公公鑰<持有人人，公公鑰>層次CA組織成成為層層次關(guān)關(guān)系信任鏈鏈信任某某CA則信任任其子子CA及其子子CA簽發(fā)的的證書(shū)書(shū)CA之間的的相互互信任任相互給給對(duì)方方的公公鑰簽簽署一一個(gè)證證書(shū)CATreeA和B之間如何達(dá)達(dá)成相相互信信任證書(shū)的的撤銷(xiāo)銷(xiāo)證書(shū)中中的有有效期期證書(shū)提提前作作廢的的原因因私鑰泄泄密用戶(hù)自自己的的、CA的持有人人身份份變化化CRL-certificaterevocationlist由CA定期公公布的的證書(shū)書(shū)黑名名單作廢證證書(shū)的的序列列號(hào)的的表(序列號(hào)號(hào),撤銷(xiāo)時(shí)時(shí)間)表的創(chuàng)創(chuàng)建日日期其他信信息CRL位置、、下次次CRL更新時(shí)時(shí)間簽名OnlineCertificateStatusProtocolOCSP在線(xiàn)證證書(shū)狀狀態(tài)協(xié)協(xié)議可以用用在線(xiàn)線(xiàn)方式式查詢(xún)?cè)冎付ǘㄗC書(shū)書(shū)的狀狀態(tài)RFC2560––OCSP使用證證書(shū)進(jìn)進(jìn)行身身份鑒鑒別前提:已經(jīng)有有某人人的真真實(shí)證證書(shū)(公鑰)查目錄錄或在在線(xiàn)交交換鑒別鑒別對(duì)對(duì)方是是否是是真實(shí)實(shí)的持持有人人(某人)看對(duì)方方是否否擁有有證書(shū)書(shū)中公公鑰對(duì)對(duì)應(yīng)的的私鑰鑰使用挑挑戰(zhàn)－－應(yīng)答答機(jī)制制舉例SSL協(xié)議使用證證書(shū)的的鑒別別過(guò)程程鑒別－－A要和B通信，，A要弄清清楚B是否是是他所所期望望的真真的BA－>B：A向B請(qǐng)求證證書(shū)A<－B：B的證書(shū)書(shū)A：A檢查B的證書(shū)書(shū)是否否是A所信任任的中中心簽簽發(fā)的的A－>B：A給B一個(gè)隨隨機(jī)報(bào)報(bào)文，，讓B簽個(gè)名名來(lái)看看看B：B簽名，，在簽簽名之之前可可施加加自己己的影影響成成分A<－B：B的簽名名A：檢驗(yàn)驗(yàn)是否否通過(guò)過(guò)了B的證書(shū)書(shū)里的的公鑰鑰的驗(yàn)驗(yàn)證Terminology術(shù)語(yǔ)：：X.500目目錄服服務(wù)DirectoryAdirectoryisadatabaseoptimizedforreadoperations.Directoriesoftensupportpowerfulsearchandbrowsingcapabilities.Adirectoryislikeaphonebook,andisnotlikeadirectory(folder)onyourcomputer.Likeaphonebook,thedirectoryholdsinformationaboutathing,likeadoctor:First,youfindthephonebook,thenyoufind"Doctors,"thenyoulookforthetypeofdoctor,thenyoudecidewhichdoctoryouwanttosee.Thedirectoryislikethat.X.500－distributedhierarchicaldatabase分布式式層次次數(shù)據(jù)據(jù)庫(kù)InterNIC發(fā)布人人員信信息（（尤其其是證證書(shū)））術(shù)語(yǔ)：：LDAP術(shù)語(yǔ)：：DN-distinguishednameo="FooBar,Inc.",c=US以X.500格式表表示的的基準(zhǔn)準(zhǔn)DNo=用公司司的Internet地址表表示的的基準(zhǔn)準(zhǔn)DNdc=foobar,dc=com用DNS域名的的不同同部分分組成成的基基準(zhǔn)DNcn=OatmealDeluxe,ou=recipes,dc=foobar,dc=com燕麥粥粥食食譜譜…*dn:cn=OatmealDeluxe,ou=recipes,dc=foobar,dc=comcn:InstantOatmealDeluxerecipeCuisine:breakfastrecipeIngredient:1packetinstantoatmealrecipeIngredient:1cupwaterrecipeIngredient:1pinchsaltrecipeIngredient:1tspbrownsugarrecipeIngredient:1/4apple,anytype術(shù)語(yǔ)：：ASN.1ASN.1anotationfordescribingabstracttypesandvaluesX.208Type/Tagnumber(decimal)/Tagnumber(hexadecimal)INTEGER202BITSTRING303OCTETSTRING404NULL505OBJECTID606SEQUENCE1610SETandSETOF1711PrintableString1913T61String2014IA5String2216UTCTime2317術(shù)語(yǔ)：：BER/DERBasicEncodingRules(x.209)TheBasicEncodingRulesforASN.1,abbreviatedBER,giveoneormorewaystorepresentanyASN.1valueasanoctetstring.DistinguishedEncodingRulesTheDistinguishedEncodingRulesforASN.1,abbreviatedDER,areasubsetofBER,andgiveexactlyonewaytorepresentanyASN.1valueasanoctetstring.DERisdefinedinSection8.7ofX.509.*layman.doc編碼例例子3082xxxx30seq8隨后的的半個(gè)個(gè)字節(jié)節(jié)指示示了隨隨后的的長(zhǎng)度度22個(gè)字節(jié)節(jié)14.3PKIPKIX14.aPKIinWindowsWindows中對(duì)PKI的支持持一個(gè)簡(jiǎn)簡(jiǎn)陋但但是可可用的的CA可在IE和IIS之間跑跑HTTPS（HTTP+SSL）可使用用Outlook*Express收發(fā)加加密+簽名郵郵件實(shí)驗(yàn)任任務(wù)自己配配置一一個(gè)CA發(fā)放若若干個(gè)個(gè)證書(shū)書(shū)并在IIS、IE、OE中測(cè)試試CA安安裝需WindowsServer手工添添加CA組組件并并配置置參數(shù)數(shù)給IE申請(qǐng)請(qǐng)一個(gè)個(gè)證書(shū)書(shū)如果要要求客客戶(hù)身身份IE中申請(qǐng)請(qǐng)用戶(hù)戶(hù)證書(shū)書(shū)在CA的IE界面申申請(qǐng)給IIS申申請(qǐng)一一個(gè)證證書(shū)安裝IIS，新建建一個(gè)個(gè)WebServer為啟用用SSL產(chǎn)生RSA鑰和PKCS#10Req通過(guò)CA的IE界面提提交申申請(qǐng)：：PKCS#10Req在CA管理器器中頒頒發(fā)、、導(dǎo)出出cer/der回到IIS的WebServer導(dǎo)入cer/der設(shè)置SSL端口讓該WebServer請(qǐng)求SSLHTTPS然后可以以嘗試用用HTTPS協(xié)議訪(fǎng)問(wèn)問(wèn)IIShttps://localhost/orhttps://that’’server/http://localhost/orhttp://that’server/收發(fā)安全全郵件使用IE中的證書(shū)書(shū)（個(gè)人人證書(shū)））OExp中使用RSA證書(shū)保護(hù)護(hù)郵件在CA的IE界面申請(qǐng)請(qǐng)?jiān)贠Exp中使用參見(jiàn)第第15章PKIinWindowsServer課課堂演演示使用虛擬擬機(jī)基本環(huán)境境服務(wù)器：：windowsserverCAserverIIS客戶(hù)端：：windowsIEOutlookExpress14.bEJBCAEJBCA是一個(gè)基基于JAVA的CA，應(yīng)用較較廣泛。。請(qǐng)看安裝裝札記。。14.cOpenCA14.dCAwithOpenSSLOpenSSL下載、編編譯、安安裝、配配置相關(guān)功能能目錄./apps/demoCA，./certsopenssl子命令(證書(shū)相關(guān)關(guān))asn1parse、ca、crl、crl2pkcs7、nseq、ocsp、pkcs12、req、x509*練練習(xí)配置一個(gè)個(gè)該CA，頒發(fā)證證書(shū)，并并試用mkdir-p./demoCA/{private,newcerts}touch./demoCA/index.txtecho01>./demoCA/serialopensslgenrsa-out./demoCA/private/cakey.pem1024opensslreq-new-days10000-key./demoCA/private/cakey.pem-outcareq.pemopensslca-selfsign-incareq.pem-out./demoCA/cacert.pem#CAready#user1opensslgenrsa-outuserkey.pem1024opensslreq-new-days3650-keyuserkey.pem-outuserreq.pemopensslca-inuserreq.pem-outusercert.pemmv*.pem./demoCA/newcerts/.證書(shū)解析析手工演示示inwindowsuseopenssl.exeopensslx509-incert.pem-text編程參考.\apps\x509.c其他證書(shū)廠(chǎng)商商提供的的解析庫(kù)庫(kù)API證書(shū)操作作(inOpenSSL)PEM_read_bio_X509_AUX()X509_get_version()X509_get_issuer_name()X509_get_subject_name()X509_get_pubkey()X509_verify()解析證書(shū)書(shū)例程推薦閱讀讀：CA運(yùn)營(yíng)機(jī)機(jī)構(gòu)及其其它資料鏈接接關(guān)鍵詞KeyTermsauthenticationauthenticationserverKerberosKerberosrealmlifetimenoncepropagatingcipherblockchaining(PCBC)modepublic-keycertificaterealmsequencenumbersubkeyticketticket-grantingserver(TGS)X.509certificate小結(jié)Kerberos適合合在LAN上使使用，Windows域就是是用的它它。PKI是互互聯(lián)網(wǎng)這這種分布布式環(huán)境境安全的的主要解解決方法法。PKI的核核心是CA的建建設(shè)，CA的優(yōu)優(yōu)點(diǎn)在于于其是離離線(xiàn)中心心。CA的一個(gè)個(gè)麻煩事事是證書(shū)書(shū)黑名單單(CRL/OCSP)的處處理。PKI的的部署較較為繁瑣瑣，而且且PKI主要幫幫助通信信加密、、抗抵賴(lài)賴(lài)等，對(duì)對(duì)于系統(tǒng)統(tǒng)安全問(wèn)問(wèn)題(病病毒和黑黑客)幫幫助不大大，因此此降低了了用戶(hù)部部署的積積極性。。Q&A9、靜靜夜夜四四無(wú)無(wú)鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹(shù)樹(shù)，，燈燈下下白白頭頭人人。。。。03:47:5603:47:5603:4712/29/20223:47:56AM11、以我獨(dú)獨(dú)沈久，，愧君相相見(jiàn)頻。。。12月-2203:47:5603:47Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。03:47:5603:47:5603:47Thursday,December29,202213、乍見(jiàn)翻疑疑夢(mèng)，相悲悲各問(wèn)年。。。12月-2212月-2203:47:5603:47:56December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國(guó)國(guó)見(jiàn)青青山。。。29十十二二月20223:47:56上上午03:47:5612月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月223:47上上午午12月月-2203:47December29,202216、行動(dòng)出成成果，工作作出財(cái)富。。。2022/12/293:47:5603:47:5629December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線(xiàn)線(xiàn)向向前前。。。。3:47:56上上午午3:47上上午午03:47:5612月月-229、沒(méi)沒(méi)有有失失敗敗，，只只有有暫暫時(shí)時(shí)停停止止成成功功！！。。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒(méi)有有。。。03:47:5603:47:5603:4712/29/20223:47:56AM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2203:47:5603:47Dec-2