现任明教教主pki教程.3处理流程与步骤

1、加密技术基本原理理解PKI的组成部分PKI处理流程与步骤基本密钥操作与IOS/MS基本PKI排错介绍服务器6.Cisco SDP技术介绍/PKI与AAA的集成PKI7.基本认证站点到站点（IOS证书服务器）层次化务器）层次化认证GET（IOS服认证Ez（ASA/Router,IOS10.基本书服务器）服务器）认证SSL作者：现任明教教主（ASA，MS证11.802.1x EAP-TLS（MS12.PKI的服务器）Yeslab安全PKI处理流程与步骤内容简介内容简介申请步骤 过期与更新验证服务器恢复第一部分:第二部分:第三部分:第四部分:申请步骤第一部分申请步骤申请步骤第一步：同步时间时间是整个

2、PKI系统的重中之重，必须要先确保参加PKI系统的设备和主机的时间同步。才能开始PKI的部署。申请步骤第二步：部署服务器服务器是整个PKI系统的可以选择Cisco IOS或者微软的，服务器。申请步骤第三步：客户端产生密钥每一个实体在申请产生RSA的密钥对。之前，需要预先申请步骤第四步：验证每一个实体需要获取服务器服务器的根，后，里边包含可以通过fing服务器的公钥。获取了根r离线验证服务器。申请步骤第五步：申请个人每一个实体发送自己的个人信息和公钥到服务器。申请步骤第六步：审核并签名管理员对每一个请求进行审核，并且对个人信息和公钥内容进行数字签名，签名后的文件即为数字。申请步骤第七步：颁发数字

3、服务器把签名的颁发给实体。申请步骤第八步：交换公钥，证明实体与公钥之间的关联，公交换钥的具体作用由运用来决定。申请步骤IKE实例过期与更新第二部分过期与更新过期与更新Auto-EnrollmentWhen aon an end device is going to expire,auto-enrollment obtains a new By configuring auto-enrollment,without disruption. host can request aexpires.newat X time before its localThis feature is used wit

4、h SCEP, and together this provides an automated mechanism for enrollment requests prior toend node（当一个终端设备expiration.即将超期之前，“auto-enrollment”技术能够在不打断正常工作的前提下，获取新的。这个特性需要使用SCEP技术，为那些即将过期的终端设备自动申请。）过期与更新Auto-Enrollment第二部分过期与更新颁发方式颁发方式：服务器有如下几种Manual（默认） Auto（自动颁发所有.请求）请求）None（所有RA-auto（自动允许所有R

5、A来的请求）自动颁发（auto）又分为如下两种类型:1.2.2.All Rollover（自动颁发轮转请求）Trustpo（自动颁发被某Trustpo签名的请求，往往是由于“auto-enrollment”造成的请求。 ）过期与更新RolloverWhen aon the CA server is going to expire,rollover enables the root CA to obtain a newwithout disruption. By configuring rollover, the CA cangenerate a newat X time before its

6、localexpires. The new, which is called the ive at the precise momentshadowthe current CA（当CA服务器的,eexpires.即将超期，rollover技术能够在不打断正常工作的情况下，让根置rollover技术，在本地服务器获取一张新的 超时之前的“X”时间，。配服（shadow务器产生一张新。新的也叫做阴影），在当前能成为主用。）服务器超期之后，这张才过期与更新shadow（1）过期与更新shadow（2）过期与更新shadow（3）过期与更新shadow客户端同时拥有原CA（4），Rollover服务器

7、根和个人服务器根和个人验证第三部分验证验证三种验证方式验证CRL （1.类似于通缉布告吊销列表）介绍2.time-sted（有效期）3.CA-signed（服务器签名）4.客户周期性轮询CRL位（http/ldap/ftp.）获取当前CRL。5.管理员一旦吊销，新的CRL就会被颁发，但是新的CRL并不会立即被客户获取，必须等老的CRL超期，才能获取新的CRL。CRL的主要问题：不是实时技术验证OCSP介绍（1）The chief advantage of OnlineSus Protocol(OCSP) ist it provides a realtime update to end user

8、s.OCSPs disadvantage ist it res on third-party software. Arouter cannot aan OCSP server. OCSP as a method ofrevocation checking ipported for end spokes.OCSP的优势:提供实时服务 OCSP的缺点:需要第IOS Router不支持OCSP服务器IOS Router作为终端设备，支持OCSP吊销方式验证OCSP介绍（2）An OCSP server has two methods to obtaininformation about the va

9、lidity of a. It canreceive periodic updates from a CA by means of a “push” from the CA, or it can periodically poll a CRLdistribution po. This approach is still periodic innature. The periods are much smallern witraditional CRL approach, and simple exchangesoccur betn a CRL distribution poand theOCS

10、P server.OCSP服务器可以通过两种方式获取有效性信息:周期性的接收源自于CA服务器“推”过来的更新周期性的轮询CRL分发点虽然也是周期性工作模式，但是比CRL的周期要小得多。验证OCSP介绍（3）When an end host requests the validity of a to the OCSP server, which contains the, it submits a query s serial number. TheOCSP server can provide a response to the query wisus fort. The sus respon

11、se can be good, unknown, or revoked. Theresponse from the OCSP server can be used immedia does not require local storage space on the router.y and consequentlyOCSP server can have a to others who make requests.ied by the CA to verify its identity，它提交一个请求到OCSP服务器，这个请当终端主机请求验证一张的序列号。OCSP服务器提供关于那张求包含这张

12、状态的回应。状态可能是，good（正常），unknown（未知）和revoked（吊销）。这个源自于OCSP的回应能够马上被使用，不需要占用路由器的本地。OCSP服务器应该拥有CA服务器颁发的，用于给发送请求给它的终端表明自己的。验证集成AAA技术的PKIFieldshe(such abject and serial number) can bepassed back to a RADIUS server or TACACS server. The server can check the credentials provided to it by the authorizing router

13、 to determine if thedevice is authorized for network acs.的字段（例如:或序列号）能够发送给RADIUS或者TACACS服（务器。服务器检查这些信息，并这个设备对网络的）The advantage of using AAA as a solution ist it enables authorizationin addition to authentication. The moment an administrator decides ais no longer authorized, the administrator can mak

14、e the change inthe AAA server, and it is immediay effective. The disadvantage of thesolution is authorizationt it requires manual entry of he AAA server.credentials and优势:在认证的基础之上提供马上生效。缺点:需要在AAA服务器上手动配置认证与，能够限制使用时间和用途，并且信息。服务器恢复第四部分服务器恢复服务器恢复为什么要恢复服务器Sometimes, routers experience hardware failures,

15、 or an administrator might accidentally lose information on arouter. If this router is theauthority, a key partof the network infrastructure is compromised. Consequently, a method should exist to recover from such events without resulting in a catastrophic failure.（某些时候，路由器会出现硬件故障，或者管理员偶然丢失了登录路由器的账号

16、。如果这台路由器是一台服务器，网络框架中一个关键部分。因此，需要有式在这种情况下，恢复果。）服务器，以免造成性后服务器恢复服务器文件1.Database file contains the RSA keys and local.（RSA密钥和本地）2.The .Ser file has the last serial number ied by the CA.（服务器颁发的最后一个序列号）3.The .CRL file contains the listsve been revoked.（被吊销的，吊销列表）The default location for file storage is on

17、 the local NVRAM. Forum resincy, it is considered best practice to use an external FTPserver to store these files. This external server should not be used for anything else and should have reachability only from the CA servers.Resincy practifor miscritical servers should be appd to thisserver.（默认文件在本地NVRAM，最好的办法是使用一个外部FTP服务器来这些文件。为了安全性考虑，这个服务器只能被服务器）服务器恢复外部服务器配置Optionally placing the CRL file in a different locationnthe URL file. The CRL fiy default would be storedhesame location as the database file.（为了安全性，最好CRL选择不同的位置。CRL文件默认与数据库文件使用相同的位置）服务器恢复恢复步骤Step 1. Import the databas