06-PKI配置.pdf

操作手册 安全分册 PKI 目 录 目 录 第1 章 PKI配置1-1 1.1 PKI简介 1-1 1.1.1 概述 1-1 1.1.2 相关术语 1-1 1.1.3 体系结构 1-2 1.1.4 主要应用 1-3 1.1.5 PKI的工作过程 1-3 1.2 PKI配置任务简介 1-4 1.3 配置实体DN 1-4 1.4 配置PKI域 1-6 1.5 PKI证书申请 1-7 1.5.1 自动申请证书 1-8 1.5.2 手工申请证书 1-8 1.6 手工获取证书 1-9 1.7 配置PKI证书验证 1-10 1.8 销毁本地RSA密钥对 1-11 1.9 删除证书 1-12 1.10 配置证书属性的访问控制策略 1-12 1.11 PKI显示和维护 1-13 1.12 PKI典型配置举例 1-13 1.12.1 PKI实体向CA 申请证书 1-13 1.12.2 使用PKI证书体系的RSA证书签名方法进行IKE协商认证 1-17 1.13 常见配置错误举例 1-20 1.13.1 获取CA的证书失败 1-20 1.13.2 本地证书申请失败 1-21 1.13.3 CRL获取失败 1-21 i 操作手册 安全分册 PKI 第 1 章 PKI 配置 第1章 PKI 配置 1.1 PKI 简介 1.1.1 概述 PKI （Public Key Infrastructure，公钥基础设施）是通过使用公开密钥技术和数字证 书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。 PKI 的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用 户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相 关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，保 证了通信数据的机密性、完整性和不可否认性。 1.1.2 相关术语 1. 数字证书 数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息 的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。 一般情况下数字证书中还包括密钥的有效时间、发证机关（证书授权中心）的名称 和该证书的序列号等信息，证书的格式遵循 ITUTX.509 国际标准。本手册中涉及两 类证书：本地（local）证书和CA （Certificate Authority ）证书。本地证书为CA 签 发给实体的数字证书；CA 证书也称为根证书，为 CA “自签”的数字证书。 2. 证书废除列表（CRL，Certificate Revocation Lists ） 由于用户姓名的改变、私钥泄漏或业务中止等原因，需要存在一种方法将现行的证