PKI概览
了解 PKI、Junos OS 中的 PKI 支持,并了解 PKI 的优势。
PKI 简介
公钥基础架构 (PKI) 提供了一种使用数字证书验证远程站点身份的方法。PKI 使用证书颁发机构 (CA) 来验证您的信息,并使用数字签名对其进行签名,这样您的信息和签名都不会被修改。签名后,该信息将成为数字证书。接收数字证书的设备可以通过使用公钥加密来验证签名,从而验证证书中的信息。
PKI 为数字证书管理提供了一个基础架构,包括:
-
注册机构 (RA),用于验证实体的身份,授权其证书请求,并生成唯一的非对称密钥对(除非用户的证书请求已包含公钥)
-
为请求实体颁发相应数字证书的证书颁发机构 (CA)。
-
证书吊销列表 (CRL),用于标识不再有效的证书。拥有 CA 真实公钥的每个实体都可以验证该 CA 颁发的证书。
PKI 的工作原理
PKI支持公共加密密钥的分发和识别,使用户既可以通过Internet等网络安全地交换数据,又可以验证对方的身份。
图 1 显示了使用公钥和私钥在两个用户之间如何进行身份验证。
| PKI 关键组件 |
描述 |
|---|---|
| 证书颁发机构 (CA) |
受信任的第三方组织,负责创建、注册、验证和吊销数字证书。CA 保证用户的身份,并颁发用于消息加密和解密的公钥和私钥。 |
| 注册机关 (RA) |
验证实体的身份,授权其证书请求,并生成唯一的非对称密钥对(除非用户的证书请求已包含公钥)。 |
| 数字证书 |
这些是电子文档,其中包含有关其签发实体(例如 VPN 网关)的信息。它们由通讯局签署,以确保其真实性和完整性。 |
| 公钥和私钥 |
公钥加密中使用的一对密钥。公钥用于加密,私钥用于解密。这些密钥是同时生成的,并以数学方式链接。 |
| 证书生命周期管理 |
这包括生成公钥/私钥和身份信息、注册(请求和检索)、在互联网密钥交换 (IKE) 内的使用、证书验证和撤销检查以及证书续订等阶段。 |
| IKE 和 PKI |
在 IKE 第 1 阶段设置期间,证书可以通过 IP 地址、完全限定域名 (FQDN)、用户完全限定域名 (U-FQDN) 或可分辨名称 (DN) 来识别对等方。IKE ID 将添加到证书的 SubjectAlternativeName 字段中。 |
PKI 的好处
- 增强的安全性: PKI 通过使用非对称加密技术提供强大的安全性,非对称加密技术比对称加密技术更安全。公钥和私钥的使用可确保使用公钥加密的数据只能使用相应的私钥进行解密。
- 信任层次结构: PKI 通过使用证书颁发机构 (CA)、注册颁发机构 (RA) 和证书存储库来建立信任层次结构。此层次结构可确保网络中的所有实体根据其证书和颁发证书的 CA 相互信任。
- 数据完整性: PKI 颁发的数字证书通过提供一种验证发件人和数据本身真实性的方法来确保数据的完整性。这样可以防止数据在传输过程中被篡改或更改。
- 可扩展性: PKI 是可扩展的,可以在具有多个实体的大型网络中使用。它支持 X.509 和公钥加密标准 (PKCS) 等各种标准,用途广泛,适应不同的网络配置。
- 易于管理: 虽然设置 PKI 需要一些初始配置,但它简化了数字证书和密钥的管理。这使得管理和维护网络中的安全连接变得更加容易。