https.pptVIP

RHCE * 什么是PKI Public Key Infrastructure，公钥基础结构 通过公钥技术与数字证书确保信息安全的体系 由公钥加密技术、数字证书、CA、RA等共同组成 PKI体系能够实现的功能有 身份认证 数据完整性 数据机密性 操作的不可否认性 * 公钥加密技术 公钥加密技术是PKI的基础 公钥（Public Key）和私钥（Private Key） 公钥和私钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密 不能根据一个密钥而推算出另外一个密钥 公钥对外公开，私钥只有私钥的持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同，可以分为数据加密和数字签名 * 数据加密 发送方使用接收方的公钥加密数据 接收方使用自己的私钥解密数据 数据加密能保证所发送数据的机密性 * 数字签名 发送方 对原始数据执行HASH算法得到摘要值 发送方用自己私钥加密摘要值 将加密的摘要值与原始数据发送给接收方 接收方 用发送方公钥解密摘要值；同时对收到的原始数据同样执行HASH产生另一摘要值 将解密的摘要值与产生的摘要值对比 数字签名保证数据完整性、身份验证和不可否认 * 基于PKI技术的协议 SSL 认证用户和服务器，确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性，确保数据在传输过程中不被改变 Https 使用SSL来实现安全的通信 IPSec 目前已经成为最流行的VPN解决方案 * 什么是证书 证书用于保证密钥的合法性 证书把公钥与拥有对应私钥的主体标识信息捆绑在一起 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 X.509是由国际电信联盟制定的数字证书标准 使用者的公钥值 使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识信息 颁发者的数字签名 * 什么是证书 证书可以应用于 Web服务器身份验证 Web用户身份验证 安全电子邮件 Internet协议安全(IPSec) 数字证书由权威公正的第三方机构即CA签发 * 使用ssl搭建安全的web服务器https 安装证书生成工具 yum install mod_ssl -y 给httpd添加ssl支持 vi /etc/httpd/conf.d/ssl.conf 添加下面两项 DocumentRoot /var/www/abc“ ServerName :443? service httpd restart * 制作自定义证书 利用系统自带证书生成工具 cd /etc/pki/tls/certs make server.key 生成私钥，需要输入不少于四位的密码 openssl rsa -in server.key -out server.key 去除私钥密码 make server.crt? ? 生成证书 cp server.key /etc/pki/tls/private/localhost.key cp server.crt /etc/pki/tls/certs/localhost.crt * * * * * * * * * * * * * * * * * *