【网络安全实验】PKI(证书服务)配置实验
目录
一、PKI相关概念
1.1 定义与核心功能
1.2 PKI 系统的组成
1.证书颁发机构(CA, Certificate Authority)
2.注册机构(RA, Registration Authority)
3.数字证书
1.3 PKI 的功能
1.4 PKI认证体系:
工作流程
1.5 优势与挑战
二、windows Server服务器上PKI(证书服务)配置
步骤一:服务器上安装CA服务器
1.查看服务器IP
2.安装IIS服务
3.安装CA证书
4.启动CA服务
步骤二:客户机用web方式申请证书和安装证书
1.客户机安装CA证书
2.申请web浏览器证书
3.用证书服务器给用户颁发证书
4.给客户机上的用户安装颁发的web服务器证书.
步骤三:证书查看及吊销
1.查看安装的web浏览器证书
2.查看“受信任的根证书颁发机构”下的“证书”
3.吊销证书如下:
一、PKI相关概念
1.1 定义与核心功能
PKI(Public Key Infrastructure)即公钥基础设施,是一种基于非对称加密技术(公钥密码)的安全框架,通过数字证书、加密算法和可信第三方机构(如证书颁发机构CA),为网络通信提供身份验证、数据加密、完整性保护及不可否认性服务。其核心目标是解决开放网络中的身份信任问题,确保数据在传输过程中的机密性、真实性和完整性。
1.2 PKI 系统的组成
PKI体系由以下关键组件构成
1.证书颁发机构(CA, Certificate Authority)
是 PKI 的核心,负责接收、审核和颁发数字证书,对证书的真实性和可靠性进行担保。
- 根CA(Root CA):信任链的起点,自签名证书,预装在操作系统或浏览器中。
- 中间CA:由根CA签发,分担证书签发任务,增强安全性。
2.注册机构(RA, Registration Authority)
作为 CA 和用户之间的桥梁,负责收集用户的注册信息,对用户身份进行初步审核,减轻 CA 的负担,提高认证效率。即辅助CA验证用户身份(如企业邮箱、域名所有权),审核证书申请,不直接签发证书。
3.数字证书
是一种由 CA 颁发的电子文件,它将用户的身份信息与用户的公钥绑定在一起,用于证明用户身份的真实性和公钥的合法性。
- 内容:包含证书版本、序列号、签名算法、颁发者、有效期、主体、公钥等信息。
4.证书吊销列表(CRL)与在线证书状态协议(OCSP)
- CRL:定期发布的被吊销证书列表,供用户查询。
- OCSP:实时查询证书状态,替代CRL,提高验证效率。
- 5.证书库
是存放数字证书的数据库,提供证书的存储、检索和查询服务,方便用户获取他人的证书及相关信息。
6.密钥管理系统
负责密钥的生成、存储、分发、更新和销毁等管理工作,确保密钥的安全性和可用性。
7.应用接口
为各种应用系统提供与 PKI 交互的接口,使应用系统能够方便地集成 PKI 的安全功能,如加密、解密、数字签名和身份认证等。
1.3 PKI 的功能
1.身份认证
通过数字证书验证用户的身份,确保通信双方的身份真实可靠,防止身份假冒和欺骗。
2.数据加密
利用公钥加密技术对敏感数据进行加密,只有拥有相应私钥的接收方才能解密,保证数据的保密性。
3.数字签名
用户使用自己的私钥对数据进行签名,接收方可以通过验证签名来确认数据的来源和完整性,防止数据被篡改和伪造。
4.密钥管理
PKI 提供了一套完整的密钥管理机制,包括密钥的生成、分发、更新和销毁等,确保密钥的安全使用。
1.4 PKI认证体系:
工作流程
1.证书申请
用户生成密钥对,提交包含公钥和身份信息的证书签名请求(CSR)给RA。
2.身份验证
RA审核用户身份(如政府ID、域名验证),将CSR转发给CA。
3.证书颁发
CA审核后,用私钥对CSR签名,生成数字证书(X.509格式),用户下载并安装证书。
4.证书使用与验证
通信双方交换证书,通过CRL或OCSP验证有效性,使用公钥加密、私钥解密进行安全通信。
1.5 优势与挑战
优势:
- 安全性高:基于非对称加密,私钥不传输,难以破解。
- 简化密钥管理:CA集中管理证书,用户无需自行分发公钥。
- 支持大规模应用:适用于金融、政务、医疗等高安全需求领域。
挑战:
- 证书管理复杂:需维护证书生命周期(颁发、更新、吊销)。
- 安全风险:私钥泄露可能导致身份伪造,证书吊销不及时影响安全性。
二、windows Server服务器上PKI(证书服务)配置
环境:
服务机:Windows Server 2003
客户机:Windows XP
步骤一:服务器上安装CA服务器
1.查看服务器IP
打开Windows server2003,win+R 输入cmd进入终端,输入ipconfig查看当前的IP地址:192.168.127.139和子网掩码:255.255.255.0
2.安装IIS服务
- 开始——控制面板——添加或删除程序
- 点击左侧“添加、删除Windows组件(A)”,在弹出的“Windows组件向导”中找到并单击[应用程序服务器],双击.在[应用程序服务器的子组件]中,单击[Internet信息服务(IIS)],然后点“确定”,然后点击“下一步”,安装完成后点击“完成”即可
3.安装CA证书
- windows组件向导——组件——勾选“证书服务”
- 选择“独立根CA”,点击“下一步”
- 输入一个公用名称,下一步选择证书数据库和日志的存放地址
4.启动CA服务
Win+R输入“mmc”进入控制台,点击“文件”添加管理单元,“添加/删除管理单元”——“添加”——勾选“证书颁发机构”
如图显示则CA服务成功启用
步骤二:客户机用web方式申请证书和安装证书
1.客户机安装CA证书
- 打开WindowsXP客户机,在客户机上打开IE浏览器,并在地址栏“http://192.168.127.139/certsrv”,选“下载证书,证书链或CRL”
再选安装CA证书
出现如下,选择“是”
- 安装CA证书链后,客户机上的已登陆用户就会信任此CA服务器(证书服务器Windows Server2003)
2.申请web浏览器证书
- 向CA服务器申请web浏览器证书,在客户机上先回证书服务首页,如图选“申请一个证书”
- 选择“web浏览器证书”,然后添加自己个人信息
- 提交信息后出现:
申请成功:ID为2
3.用证书服务器给用户颁发证书
回到Windows Server2003证书服务器上,在挂起的申请上颁发证书
4.给客户机上的用户安装颁发的web服务器证书.
- 在回到客户机上打开IE在地址栏输入“http://192.168.1127.139/certsrv”选“查看挂起的证书申请的状态”
- 查看web浏览器证书
- 安装此证书
- 信任此网站
- 如下图说明证书以安装成功!
步骤三:证书查看及吊销
1.查看安装的web浏览器证书
- Win+R输入mmc,打开Windows XP控制台,点击左上角“文件”——“添加/删除管理单元”——“添加”——“证书”——“我的用户账户”——下一步——确定
- 在此时个人证书可以看到安装的web浏览器证书
2.查看“受信任的根证书颁发机构”下的“证书”
如图所示,可以看到刚刚颁发的证书:
3.吊销证书如下:
在Windows Server2003的根CA服务器上win+R打开“mmc”控制台右击“颁发的证书”吊销如图
相关文章:
【网络安全实验】PKI(证书服务)配置实验
目录 一、PKI相关概念 1.1 定义与核心功能 1.2 PKI 系统的组成 1.证书颁发机构(CA, Certificate Authority) 2.注册机构(RA, Registration Authority) 3.数字证书 1.3 PKI 的功能 1.4 PKI认证体系: 工作流程 …...
【数据集】多视图文本数据集
多视图文本数据集指的是包含多个不同类型或来源的信息的文本数据集。不同视图可以来源于不同的数据模式(如原始文本、元数据、网络结构等),或者不同的文本表示方法(如 TF-IDF、词嵌入、主题分布等)。这些数据集常用于多…...
学透Spring Boot — 007. 七种配置方式及优先级
Spring Boot 提供很多种方式来加载配置,本文我们会用Tomcat的端口号作为例子,演示Spring Boot 常见的配置方式。 几种配置方式 使用默认配置 新建一个项目什么都不配置,Spring Boot会自动配置Tomcat端口号。 启动日志 TomcatWebServer :…...
元素定位-xpath
xpath其实就是一个path(路径),一个描述页面元素位置信息的路径,相当于元素的坐标xpath基于XML文档树状结构,是XML路径语言,用来查询xml文档中的节点。 绝对定位 从根开始找--/(根目录)/html/body/div[2]/div/form/div[5]/button缺…...
【youcans论文精读】弱监督深度检测网络(Weakly Supervised Deep Detection Networks)
欢迎关注『youcans论文精读』系列 本专栏内容和资源同步到 GitHub/youcans 【youcans论文精读】弱监督深度检测网络 WSDDN 0. 弱监督检测的开山之作0.1 论文简介0.2 WSDNN 的步骤0.3 摘要 1. 引言2. 相关工作3. 方法3.1 预训练网络3.2 弱监督深度检测网络3.3 WSDDN训练3.4 空间…...
网络购物谨慎使用手机免密支付功能
在数字经济蓬勃发展的当下,“免密支付”成为许多人消费时的首选支付方式。 “免密支付”的存在有其合理性。在快节奏的现代生活中,时间愈发珍贵,每节省一秒都可能带来更高的效率。以日常通勤为例,上班族乘坐交通工具时,…...
Sentinel[超详细讲解]-4
🚓 主要讲解流控模式的 三种方式中的两种: 直接、链路🚀 1️⃣ 直接模式 🚎 直接模式:对资源本身进行限流,例如对某个接口进行限流,当该接口的访问频率超过设定的阈值时,直接拒绝新的…...
【服务日志链路追踪】
MDCInheritableThreadLocal和spring cloud sleuth 在微服务架构中,日志链路追踪(Logback Distributed Tracing) 是一个关键需求,主要用于跟踪请求在不同服务间的调用链路,便于排查问题。常见的实现方案有两种&#x…...
【行测】判断推理:图形推理
> 作者:დ旧言~ > 座右铭:读不在三更五鼓,功只怕一曝十寒。 > 目标:掌握 图形推理 基本题型,并能运用到例题中。 > 毒鸡汤:有些事情,总是不明白,所以我不会坚持。早安! …...
用于计算图像或矩阵的平均值函数mean())
OpenCV 图形API(12)用于计算图像或矩阵的平均值函数mean()
操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C11 算法描述 计算矩阵元素的平均值(均值)。 mean函数计算矩阵元素的平均值M,每个通道独立计算,并返回该值。 …...
:DML触发器)
Oracle触发器使用(一):DML触发器
Oracle触发器使用(一):DML触发器 DML触发器条件谓词触发器INSTEAD OF DML触发器复合DML触发器Oracle数据库中的触发器(Trigger)本质上也是PL/SQL代码,触发器可以被Enable或者Disable,但是不能像存储过程那样被直接调用执行。 触发器不能独立存在,而是定义在表、视图、…...
3D模型给可视化大屏带来了哪些创新,都涉及到哪些技术栈。
一、3D 模型给可视化大屏带来的创新 更直观的视觉体验 传统的可视化大屏主要以二维图表和图形的形式展示数据,虽然能够传达一定的信息,但对于复杂的场景和数据关系,往往难以直观地呈现。而 3D 模型可以将数据以三维立体的形式展示出来&#…...
Unity HDRP管线用ShaderGraph还原Lit,方便做拓展;
里面唯一的重点就是判断有无这张复合图,我用的是颜色判断: float Tex TexCol.r*TexCol.g*TexCol.b*TexCol.a; if(Tex 1) { IsOrNot 1; } else { IsOrNot 0; } 其他的正常解码就行,对了法线贴图孔位记得设置成normal,不然的话…...
绝缘升级 安全无忧 金能电力环保绝缘胶垫打造电力安全防护新标杆
在电力安全领域,一块看似普通的胶垫,却是守护工作人员生命安全的“第一道防线”。近年来,随着电网设备升级和环保要求趋严,传统绝缘胶垫有异味、易老化、绝缘性能不足等问题逐渐暴露。为此,金能电力凭借技术创新推出新…...
Linux命令-iotop
iotop 命令 iotop 是一个用于实时监控磁盘 I/O 活动的工具,可以显示哪些进程正在使用磁盘资源。 参数 描述 –version 显示程序版本号并退出 -h, --help 显示此帮助消息并退出 -o, --only 仅显示实际进行 I/O 操作的进程或线程 -b, --batch 非交互模式,适…...
.getDecorView().setSystemUiVisibility(...)设置状态栏属性)
记录 | Android getWindow().getDecorView().setSystemUiVisibility(...)设置状态栏属性
纯纯的一边开发一边学习,是小白是菜鸟,单纯的记录和学习,大神勿喷,理解有错望指正~ getWindow().getDecorView().setSystemUiVisibility(…) 该方法用于控制系统 UI(如状态栏、导航栏)的可见性…...
QTableWidget 中insertRow(0)(头插)和 insertRow(rowCount())(尾插)的性能差异
一、目的 在 Qt 的 QTableWidget 中,insertRow(0) (头插)和 insertRow(rowCount())(尾插)在性能上存在显著差异。 二、QAbstractItemModel:: insertRows 原文解释 QAbstractItemModel Class | Qt Core 5.15.18 AI 解…...
用nodejs连接mongodb数据库对标题和内容的全文本搜索,mogogdb对文档的全文本索引的设置以及用node-rs/jieba对标题和内容的分词
//首先我们要在Nodejs中安装 我们的分词库node-rs/jieba,这个分词不像jieba安装时会踩非常多的雷,而且一半的机率都是安装失败,node-rs/jieba比jieba库要快20-30%;安装分词库是为了更好达到搜索的效果 这个库直接npm install node-rs/jieba即…...
【万字总结】前端全方位性能优化指南(完结篇)——自适应优化系统、遗传算法调参、Service Worker智能降级方案
前言 自适应进化宣言 当监控网络精准定位病灶,真正的挑战浮出水面:系统能否像生物般自主进化? 五维感知——通过设备传感器实时捕获环境指纹(如地铁隧道弱光环境自动切换省电渲染) 基因调参——150个性能参数在遗传算…...
不绕弯地解决文件编码问题,锟斤拷烫烫烫
安装python对应库 pip install chardet 检测文件编码 import chardet# 检测文件编码 file_path rC:\Users\AA\Desktop\log.log # 这里放文件和文件绝对路径 with open(file_path, rb) as f:raw_data f.read(100000) # 读取前10000个字节result chardet.detect(raw_data)e…...
高密度任务下的挑战与破局:数字样机助力火箭发射提效提质
2025年4月1日12时,在酒泉卫星发射中心,长征二号丁运载火箭顺利升空,成功将一颗卫星互联网技术试验卫星送入预定轨道,发射任务圆满完成。这是长征二号丁火箭的第97次发射,也是长征系列火箭的第567次发射。 执行本次任务…...
QT Quick(C++)跨平台应用程序项目实战教程 6 — 弹出框
目录 1. Popup组件介绍 2. 使用 上一章内容完成了音乐播放器程序的基本界面框架设计。本小节完成一个简单的功能。单击该播放器顶部菜单栏的“关于”按钮,弹出该程序的相关版本信息。我们将使用Qt Quick的Popup组件来实现。 1. Popup组件介绍 Qt 中的 Popup 组件…...
【面试篇】Es
基础概念类 问题:请简要介绍 Elasticsearch 是什么,它的主要特点有哪些? 答案:Elasticsearch 是一个基于 Lucene 库的开源分布式搜索引擎和分析引擎。它能对海量数据进行实时搜索与分析,被广泛应用于日志分析、全文搜…...
KisFlow-Golang流式实时计算案例(四)-KisFlow在消息队列MQ中的应用
Golang框架实战-KisFlow流式计算框架专栏 Golang框架实战-KisFlow流式计算框架(1)-概述 Golang框架实战-KisFlow流式计算框架(2)-项目构建/基础模块-(上) Golang框架实战-KisFlow流式计算框架(3)-项目构建/基础模块-(下) Golang框架实战-KisFlow流式计算框架(4)-数据流 Golang框…...
leetcode:1582. 二进制矩阵中的特殊位置(python3解法)
难度:简单 给定一个 m x n 的二进制矩阵 mat,返回矩阵 mat 中特殊位置的数量。 如果位置 (i, j) 满足 mat[i][j] 1 并且行 i 与列 j 中的所有其他元素都是 0(行和列的下标从 0 开始计数),那么它被称为 特殊 位置。 示…...
大型语言模型的智能本质是什么
大型语言模型的智能本质是什么 基于海量数据的统计模式识别与生成系统,数据驱动的语言模拟系统 ,其价值在于高效处理文本任务(如写作、翻译、代码生成),而非真正的理解与创造 大型语言模型(如GPT-4、Claude等)的智能本质可概括为基于海量数据的统计模式识别与生成系统,…...
linux_sysctl_fs_file_nr监控项
在 Linux 系统中,/proc/sys/fs/file-nr 文件提供了当前系统打开文件句柄的信息。如果监控到文件打开数较高,可能会影响系统性能,甚至导致无法打开新文件(达到文件句柄上限)。以下是分析和解决该问题的步骤:…...
Cline – OpenRouter 排名第一的CLI 和 编辑器 的 AI 助手
Cline – OpenRouter 排名第一的CLI 和 编辑器 的 AI 助手,Cline 官网:https://github.com/cline/cline Star 37.8k ps,OpenRouter的网址是:OpenRouter ,这个排名第一,据我观察,是DeepSeek v3…...
Mock.js虚拟接口
Vue3中使用Mock.js虚拟接口数据 一、创建项目 pnpm创建vite的项目,通过 PNPM来简化依赖管理。若还没有安装 PNPM,可以通过 npm来安装: 安装 PNPM npm install -g pnpm//使用国内镜像加速pnpm add -g pnpmlatestpnpm config set registry http://regis…...
2025年嵌入式大厂春招高频面试真题及解析
以下是 2025 年嵌入式大厂春招高频面试真题及解析,结合真题分类和核心知识点整理: 一、C/C++编程基础 1.1 指针与内存 野指针的成因及避免方法(未初始化、释放后未置空) malloc与calloc的区别(后者自动初始化为0) 指针与数组的区别(内存分配方…...