SANGFOR_SSLVPN_V5.0_CA认证技术说明_201011.doc

PAGE SSL VPN V5.0 CA认证技术说明 深信服科技股份有限公司 2010年11月17日 SSL VPN V5.0 CA认证技术说明 文档密级：机密 i 深信服机密，未经许可不得扩散 目录 TOC \h \z \t SANGFOR_1_标题1,1,SANGFOR_2_标题2,2,SANGFOR_3_标题3,3,SANGFOR_4_标题4,4,SANGFOR_5_标题5,5 第1章 CA认证原理 1 1.1 CA说明： 1 1.2 数字签名： 3 1.3 X.509证书结构 4 1.4 CA的认证过程： 10 1.5 证书有效验证 13 1.6 证书的格式 14 第2章 深信服证书认证 17 2.1 自建CA认证 17 2.1.1 根证书 17 2.1.2 SSL VPN设备证书 19 2.1.3 用户证书认证 20 2.1.4 证书认证流程 22 SSL VPN设备证书验证流程 22 用户证书验证 23 2.2 第三方CA结合 24 2.2.1 第三方CA结合流程 24 2.2.2 第三方CA结合配置说明 27 2.2.3 第三方CA认证流程 30 PAGE 26 深信服机密，未经许可不得扩散 CA认证原理 CA说明： 网络是个开放的环境，在网络上通讯的双方无法有一种很好的方式确定对方的身份，所以，引入第三方的权威机构CA，通讯的双方都认为CA就如公安局一样是绝对可信任的。然后由CA给通讯的双方颁发证书（身份证），通讯的双方在接受到对方的这个证书的时候，就验证是否是CA签发的，若是CA（公安局）签发的，就说明该身份证是可靠的，上面的身份信息是准确无误的，从而达到在开放的网络环境中确认对方身份的目的。 CA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。CA是基于非对称加密体系的。 世界上的CA认证中心不止一家，同根CA下的CA认证中心的关系如下图： CA认证中心是一个树状结构，根CA中心可以授权多个二级CA认证中心，同理二级CA中心可以授权多个三级CA中心。申请数字证书可以向根CA认证中心、或者二级CA、三级CA进行申请，成功申请之后，就是数字证书的所有人。下图为查看中国工商银行的证书，可以看出其证书是向VeriSign Class 3 Extended Validation SSL SGC CA这个二级CA中心申请的，根CA为VeriSign。 整个CA认证可信的基础就是根CA中心本身的受信任的。根CA中心是有多个的，从浏览器的Internet选项中可以查看浏览器内置了一些根CA机构的信息。 数字签名： CA认证中，对CA所颁发的证书的验证采用的是数字签名。数字签名依靠非对称加密、哈希算法两种算法保证签名的确认性、完整性和不可抵赖性。 非对称加密： 在基于公钥体系的安全系统中，密钥是成对生成的，每对密钥由一个公钥和一个私钥组成。使用公钥进行加密，只能使用私钥进行解密；同样，使用私钥进行加密，只能使用公钥进行解密，通过公私钥的绝对配对，确保信息的无误。在实际应用中，私钥由拥有者自己保存（CA中心），而公钥则需要公布于众（CA所颁发的证书内含）。非对称加密算法如RSA、ECC等。 哈希算法： 　　哈希算法用于校验数据的完整性，保证数值未被篡改。哈希算法将任意长度的二进制值映射为固定长度的较小二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。哈希算法如SHA1、MD5。 数字签名使用的是非对称加密算法+哈希算法，用于验证数据完整性和保证数据不可篡改性。数字签名的验证过程如下： 验证端通过判断DataH1和DataH2是否相同，来判断Data是否遭到篡改（前提是公钥、私钥是否对应），来保证数据的正确和完整性。以上私钥和公钥的位置可以互换。 X.509证书结构 X.509 是由国际电信联盟（ITU-T）制定的数字证书标准，目前，基本上服务器SSL数字证书和客户端单位数字证书的格式遵循 X.509 标准。