锐客网

  1. 首页 > 睿知 > it技术 > >

All in one PKI技术和Cisco CA操作

IT知识操作Cisco

不飞则已,一飞冲天;不鸣则已,一鸣惊人。这篇文章主要讲述All in one PKI技术和Cisco CA操作相关的知识,希望能为你提供帮助。
PKI技术原理与组成PKI技术组成部分PKI、CA、证书

1、PKI(公钥基础设施)
一套技术和规范,支持部署基于大部分的公钥技术,主要包含如下内容
1)x.509

  • 用于定义数字证书组成和拓展内容作用的标准
  • RFC(Request For Comments)颁发,而RFC是由互联网工程任务组(IETF)发布的一系列备忘录

2)x.500
  • x.500是为目录标准,只要个人信息存放在目录中既可以查询对应信息,由于过于复杂在一定程度被LDAP取代
  • 目录命名方式为DN,例如
  • cn(common name 常用名称)= HGB
  • ou(organization unit name 公司部门名称)= SEC
  • o(organization name 公司名称)= FTJW
  • c(country name 国家名称)= CN
  • I = Location 地点
  • DC = domain component 域名

3)PEM
  • 将证书转为文本格式,经常使用改编码格式导入、导出证书或密码
  • 有明显的开头和结尾标识

4)SCEP简单证书申请协议,思科研发后先已转为工业标准,使用HTTP协议传输的在线证书技术
5)PKCS
  • PKCS#7封装数据标准,用于封装数字证书。文件拓展名为.p7b .p7c
  • PKCS#10证书请求语法标准
6)小结底层大概流程
  1. 证书申请发起HTTP流量
  2. SEEP协议申请证书
  3. 证书请求用PKCS#10进行编码
  4. 证书请求用PKCS#7进行封装
  5. 认证中心CA收到综上内容
  6. HTTP/PKCS#7返回颁发证书
2、CA
认证中心这是PKI的核心,数字证书的申请和签发机关,主要包含
1)证书服务器验证证书请求和颁发证书
2)关于私有证书服务器(Private_CA)一个公司或部门所使用的内部服务器,免费但信任关系有限
3)关于公共证书服务器(Public_CA)知名、全局证书服务器,由专业公司维护。付费可全局使用
4)下级附属证书服务器(Sub-CA)层次化PKI,属于高可用和简化管理的解决方案,Sub-CA可承担责任:作为信任颁发机构,验证和颁发证书

5)注册授权服务器(RA)主要用于分担和降低CA的负担,RA的角色和功能:接收证书请求、验证请求者身份,请求者和RA之间不需要建立信任关系,RA和CA之间必须建立信任关系



3、证书
被认证中心签名的认证的文档,用于捆绑个人信息与公钥。数字证书组成部分如下图

1)版本、序列号、签名算法、颁发者、有效期
2)使用者
3)公钥,RSA为公钥算法
4)证书服务器签名
5)拓展:数字证书拓展属性
  • 使用者密钥标识符,一个使用者可以拥有多个公钥,通过标识明确需要哪个密钥执行签名
  • 颁发机构密钥标识符,一个证书服务器可以用同时使用多个私钥执行签名,通过标识明确该证书是由对应服务器的对应私钥签名产生?
  • CRL分发点,决定吊销列表所存放位置,客户端获取吊销列表来确定已作废证书
  • 密钥用法,密钥用于签名和加密
  • 基本约束,只有证书服务器的根证书有基本约束
  • 增强密钥用法?,说明密钥额外的用途



PKI处理流程与步骤
  1. 时间同步
  2. 部署证书服务器CA
  3. 客户端产生密钥
  4. 验证证书服务器
  5. 申请个人证书
  6. 审核并签名证书
  7. 颁发签名证书
  8. 颁发数字证书

思科密钥创建与使用生成密钥genral-keys和 usage-keys  ciscoasa(config)# crypto key generate rsa      #默认创建了genral-keys
WARNING: You have a RSA keypair already defined named < Default-RSA-Key> .
ciscoasa(config)# crypto key generate rsa  usage-keys 
WARNING: You have a RSA keypair already defined named < Default-RSA-Key> .

查看产生的密钥genral-keys知识点:
  1. 是一对密钥
  2. 密钥既能加密也能签名
  3. 只需要申请一张证书来对一个公钥执行认证
  4. 由于使用频繁,安全性低于Usage keys

usage-keys  知识点:
  1. 是两对密钥
  2. 一对用于加密,一对用于签名
  3. 需要申请两张证书来对应两个公钥执行认证
  4. 安全性高于General key,但配置量大于General key

附带参数解析ciscoasa(config)# cry key generate rsa general-keys label CCIElinweiwei modulu 4096
INFO: The name for the keys will be: CCIElinweiwei
Keypair generation process begin. Please wait...

lab参数给密钥起名称,后续直接调用名称即可,仅本地标识,若使用默认命令FQDN(hostname + domain_name)
mode配置密钥长度,安全的同时也会加大性能消耗

证书导入导出是否允许导出
crypto key generate rsa exportable#创建并导出证书
crypto key generate rsa non-exportable#创建并不允许导出证书,不可逆


密钥删除

【All in one PKI技术和Cisco CA操作】


    推荐阅读


    上一篇:图文并茂!深入了解RocketMQ的过期删除机制

    下一篇:路由基础之配置OSPF的认证和被动接口的配置