ca认证中心

一、 SSL (Secure Socket Layer) 为 Netscape 所研发，用以保障在 Internet 上数据传输之安全，利用数据加密 (Encryption) 技术，可确保数据在网络 上之传输过程中不会被截取及窃听。目前一般通用之规格为 40 bit 之安全标准，美国则已推出 128 bit 之更高安全 标准，但限制出境。只要 3.0 版本以上之 I.E. 或 Netscape 浏览器即可支持 SSL 。 当前版本为 3.0 。它已被广泛地用于 Web 浏览器与服务器之间的身份认证和加密数据传输。 SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。 SSL 协议可分为两层： SSL 记录协议（ SSL Record Protocol ）：它建立在可靠的传输协议（如 TCP ）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL 握手协议（ SSL Handshake Protocol ）：它建立在 SSL 记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL 协议提供的服务主要有： 1 ）认证用户和服务器，确保数据发送到正确的客户机和服务器； 2 ）加密数据以防止数据中途被窃取； 3 ）维护数据的完整性，确保数据在传输过程中不被改变。 SSL 协议的工作流程：

一、概述 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但PKI绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI作为国家信息化的基础设施，是相关技术、应用、组织、规范和法律法规的总和，是一个宏观体系，其本身就体现了强大的国家实力。PKI的核心是要解决信息网络空间中的信任问题

一直以来对公钥和私钥都理解得不是很透彻，感觉到模棱两可。今天在网上找了半天，通过查看对这个密钥对的理解，总算弄清楚了。 公钥和私钥就是俗称的不对称加密方式，是从以前的对称加密（使用用户名与密码）方式的提高。 用电子邮件的方式说明一下原理。 使用公钥与私钥的目的就是实现安全的电子邮件，必须实现如下目的： 1. 我发送给你的内容必须加密，在邮件的传输过程中不能被别人看到。 2. 必须保证是我发送的邮件，不是别人冒充我的。 要达到这样的目标必须发送邮件的 两人都有公钥和私钥 。 公钥，就是给大家用的，你可以通过电子邮件发布，可以通过网站让别人下载，公钥其实是用来加密/验章用的。私钥，就是自己的，必须非常小心保存，最好加上 密码，私钥是用来解密/签章，首先就Key的所有权来说，私钥只有个人拥有。 公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能 用公钥解密。 比如说，我要给你发送一个加密的邮件。首先，我必须拥有你的公钥，你也必须拥有我的公钥。 首先，我用你的公钥给这个邮件加密，这样就保证这个邮件不被别人看到，而且保证这个邮件在传送过程中没有被修改。你收到邮件后，用 你的私钥就可以解密 ，就能看到内容。 其次我用我的私钥给这个邮件加密，发送到你手里后，你可以用我的公钥解密。因为私钥只有我手里有，这样就保证了这个邮件是我发送的。 当A->B资料时，A会使用 B的公钥加密

https://blog.51cto.com/13157015/1966084 PXE自动化安装 https://www.cnblogs.com/ance/p/10265962.html#i4 自制u盘镜像并安装 证书签名过程：1、网页服务器生成证书请求文件；2、认证中心确认申请者的身份真实性；3、认证中心使用根证书的私钥加密证书请求文件，生成证书；4、把证书传给申请者。 一、实验环境 node1　　192.168.40.132　　CA认证中心（ 也要给自己颁发根证书 ） node2　　192.168.40.211　　网页服务器 由于没有真实域名，所以自己搭建一个CA认证中心，实际只要去申请一个就好了。 [root@node1 ~]# rpm -qf `which openssl` openssl-1.0.2k-8.el7.x86_64 //openssl一般默认安装的 [root@node1 ~]# vim /etc/pki/tls/openssl.cnf basicConstraints=CA: TRUE 　　 //第172行，让当前服务器成为CA认证中心 [root@node1 ~]# /etc/pki/tls/misc/CA -newca 　 //新的CAche证书 CA certificate filename (or enter to create) //证书文件名

(1).CA认证 　　CA全称Certificate Authority，通常翻译成认证权威或者认证中心，主要用途是为用户发放数字证书。认证中心（CA）的功能：证书发放、证书更新、证书撤销和证书验证。CA证书的作用：身份认证，实现数据的不可否认性。 　　CSR全称Cerificate Signing Request，中文名 证书请求文件 ，是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书的私钥签名就生成了证书文件，也就是颁发给用户的证书。 　　证书签名过程：1、服务器生成证书请求文件；2、认证中心确认申请者的身份真实性；3、认证中学使用根证书的私钥加密证书请求文件，生成证书；4、把证书传给申请者。 　　申请免费的CA认证可以选择：阿里云 https://www.aliyun.com/product/cas?spm=5176.10695662.1171680.1.58564c0dMNos55 ，或FreeSSL https://freessl.cn/ 　1）实验环境 youxi1　　192.168.5.101　　CA认证中心 youxi2　　192.168.5.102　　服务器 　2）由于没有真实域名，所以自己搭建一个CA认证中心，实际只要去申请一个就好了。 [root