[上課筆記] LAB(模擬pki架構,ca,subca,user憑證的產製與應用
下載rootca.zip解開
pccu{
certs 存放憑證
private 公/私key存放
reg 存放申請
newcerts 憑證輩分
crl 憑證註銷區
index.txt 憑證資料庫
crlnumber 註銷序號
serial 發行序號
}
-pccucacert.bat
-pccusubcacert.bat
-pccuusercert.bat
-rootca.cnf 產製根憑證設定檔
-subca.cnf 產製子ca憑證設定檔
-usercert.cnf 產製用戶憑證設定檔
建議
- 清空certs, private, reg, newcerts, crl
- 清空index.txt內容
- 將cerial, crlnumber重編序號(筆記本存一行號碼如01)
- 執行pccucacert.bat,產製根CA的key=放在private/cakey.pem,cert=放在cacert.pem
- 執行pccuusercert.bat,產製user=alice的key=private/alicekey.pem,cert=certs/alicecert.pem,另newcerts將有"序號.pem"(備份),觀察index.txt,觀察serial
- 執行pccusubacert.bat產製subca=SCE的key=private/SCEkey.pem,cert=certs/SCEcert.pem。=>交付給SCEkey.pem,SCEcert.pem給SCE,SCEkey.pem複製到SCE目錄及SCE/private目錄
- 在SCE目錄下執行sceusercert.bat產製user=bob的key=bobkey.pem,cert=bobcert.pem
- 匯入IE作觀察
1.匯入pccu根憑證(cacert.pem)到信任的耕目錄
2.匯入SCECA憑證(scecert.pem)到中繼憑證區
3.匯入Alice,Bob到其他人憑證區作觀察 - pkcs12檔案為含私key在內的憑證檔案(page9-39)page9-4範例
openssl pkcs12 -expart (作pkcs#12格式輸出)
openssl pkcs12 -in alicecert.pem (含入憑證)
openssl pkcs12 -inkey alicekey,pem (含入私key)
openssl pkcs12 -out alice.pfx (存在,pfx檔windows)
openssl pkcs12 -name "Alice personal" (別名,好記的名字) - 將alice.pfx匯入IE cert的個人區。(個人區憑證必須含有私key在內,方代表個人)
- pkcs#7格式含有憑證路徑在內的憑證,即含有簽署此Cert的上層所有CA Cert在內。參考page9-4
----------------------------------
windows2003憑證授權單位伺服器
-IIS伺服器
-憑證授權單位 {
企業根CA&企業次CA(配合AD),獨立根CA,獨立次CA
}
-獨立根CA安裝:自行產生根CA憑證(含私key)
-獨立次CA安裝:先產生申請書,將申請書丟給根CA簽發取回次CA憑證方可安裝完成
-發行用戶憑證(根CA或次CA均可):http://CA/certsrv依使用目的填寫申請書,等待ca簽署核發
-安裝用戶憑證(個人憑證) :http://CA/certsrv取回憑證作線上安裝
-輸出憑證(須在申請時要求憑證可輸出(含私key)
-取得ca憑證http://CA/certsrv取得(不含CA私key)
------------應用篇----------------
- 網頁SSL:以IIS為例
IIS管理員
-網站
-你的網頁(右鍵)
-內容:
網站SSL連接阜443
目錄安全設定
安全通訊:伺服器憑證;編輯:(必須使用SSL,需要用戶憑證)
超厲害的,佩服!~~~五體投地喔!
回覆刪除您好,想請問內容中的rooca.zip的檔案在哪呢? 我沒有找到耶...不曉得能否直接跟您索取呢?抱歉,打擾您了,目前我的研究也是以PKI架構下的資安問題。
回覆刪除好阿,給我信箱吧。
回覆刪除