PKI 概述
了解 Junos OS 中的 PKI 和 PKI 元素,了解 PKI 的优势。
PKI 简介
PKI 提供了一种使用数字证书验证远程站点身份的方法。PKI 使用 证书颁发机构来验证您的信息并对您的信息进行数字签名。此过程可确保您的信息和签名都无法被修改。对信息进行签名后,该信息将成为数字证书。接收数字证书的设备会通过使用公钥加密技术验证签名来验证证书的信息。
PKI 由以下用于管理数字证书的组件组成:
-
注册机关:验证实体的身份,授权其证书请求,并生成唯一的非对称密钥对(除非用户的证书请求已经包含公钥)。
-
证书颁发机构:为请求实体颁发相应的数字证书。
-
CRL:标识不再有效的证书。每个拥有 CA 真实公钥的证书颁发机构的实体都可以验证颁发的证书。
PKI 的工作原理
PKI 支持公共加密密钥的分发和识别,使用户既能通过互联网等网络安全地交换数据,又能验证对方的身份。
图 1 显示了两个用户之间如何使用公钥和私钥进行身份验证。
| PKI 关键组件 |
描述 |
|---|---|
| 证书颁发机构 |
受信任的第三方组织,负责创建、注册、验证和撤销数字证书。证书颁发机构保证用户的身份,颁发公钥和私钥进行消息加密和解密。 |
| 注册机关 (注册机关) |
验证实体的身份,授权其证书请求,并生成唯一的非对称密钥对,除非用户的证书请求已包含公钥。 |
| 数字证书 |
包含有关实体的信息的电子文档,例如 VPN 网关。证书颁发机构对数字证书进行签名,以确保其真实性和完整性。 |
| 公钥和私钥 |
公钥加密中使用的一对密钥,同时生成并以数学方式链接。公钥用于加密,私钥用于解密。这些密钥包括 |
| IKE 和 PKI |
在 IKE 第 1 阶段设置期间,证书可以通过 IP 地址、FQDN、用户 FQDN (U-FQDN) 或 DN 识别对等方。证书颁发机构将 IKE ID 添加到证书的 SubjectAlternativeName 字段。 |
| 证书 LCM |
包括以下阶段:
|
PKI 的优势
- 增强安全性:PKI 通过使用比对称加密更安全的非对称加密技术提供强大的安全性。公钥和私钥的使用确保了使用公钥加密的数据只能使用相应的私钥解密。
- 信任层次结构:PKI 通过使用 CA、RA 和证书存储库建立信任层次结构。此层次结构可确保网络中的所有实体根据其证书和颁发证书的证书颁发机构相互信任。
- 数据完整性:PKI 颁发的数字证书通过提供验证发送方和数据本身真实性的方法来确保数据的完整性。这种真实性验证可以防止数据在传输过程中被篡改或更改。
- 可 扩展性: PKI 具有可扩展性,可用于具有多个实体的大型网络。它支持 X.509 和公钥加密标准 (PKCS) 等多种标准,使其具有多功能性并适应不同的网络配置。
- 易于管理:虽然设置 PKI 需要进行一些初始配置,但它简化了数字证书和密钥的管理。这使得管理和维护整个网络中的安全连接变得更加容易。
PKI 术语
| 术语 | 描述 |
|---|---|
| PKI | 支持安全、加密通信和数字签名服务的框架。 |
| 证书颁发机构 | 颁发数字证书的实体。 |
| 数字证书 | 由 证书颁发机构签发的用于验证真实性的数字形式的身份验证。 |
| CRL | 在到期日期之前被 证书颁发机构吊销的证书列表。 |
| 招生 | 从 CA 请求和接收数字证书的证书颁发机构的过程。 |
| 密钥对 | 用于加密和解密的一对加密密钥(公钥和私钥)。 |
| 根证书 | 证书链中最顶层的证书,由根证书颁发机构颁发。 |
| 自签名证书 | 由创建该证书的系统签名的证书,而不是创建该证书的受信任证书颁发机构。 |
| 私钥 | 非对称加密中使用的密钥对的机密部分。 |
| 公钥 | 非对称加密中使用的密钥对的非机密部分。 |
| 数字签名 | 用于验证数字消息或文档真实性的数学方案。 |
| 证书链 | 证书序列,其中每个证书都由后续证书颁发机构签名。 |