Principio del certificado digital PKI
Antes de utilizar cualquier servicio basado en RSA, una entidad necesita obtener la clave pública de otra entidad de forma auténtica y fiable. Se requieren las siguientes garantías.
La Infraestructura de Clave Pública (PKI) es un sistema que utiliza tecnología de clave pública y certificados digitales para proporcionar servicios de seguridad de la información del sistema y es responsable de verificar la identidad de los titulares de certificados digitales. La tecnología PKI es el núcleo de la tecnología de seguridad de la información y la tecnología clave y básica del comercio electrónico. PKI garantiza la privacidad, integridad, no repudio y autenticación de origen de los datos de comunicación.
Autenticación de identidad IPSec (método de clave precompartida):
Autenticación de identidad IPSec (método de autenticación de certificado en PIK):
Certificado digital:
El certificado digital se denomina certificado. Es un archivo firmado digitalmente por la CA de la autoridad certificadora y contiene la clave pública del propietario y la información de identidad relacionada. La tecnología de certificados digitales resuelve el problema de la tecnología de firma digital de que no se puede determinar que la clave pública sea el propietario designado.
Estructura del certificado:
El certificado más simple contiene una clave pública, nombre y firma digital de la autoridad certificadora. Generalmente, el certificado también incluye el período de validez de la clave, el nombre del emisor (centro de autoridad de certificación), el número de serie del certificado y otra información. La estructura del certificado sigue las especificaciones de la versión X.509 v3. Como se muestra a continuación:
Explicación de cada campo del certificado:
Tipo de certificado
Formato del certificado
Introducción de la CA
Autoridad de certificación CA (Autoridad de certificación). CA es la base confiable de PKI y es una entidad confiable que se utiliza para emitir y administrar certificados digitales. Es una organización de terceros autorizada, confiable e imparcial, generalmente actuada por un servidor, como Windows Server 2008.
La CA generalmente adopta una estructura jerárquica de varios niveles. Según el nivel de la autoridad emisora del certificado, se puede dividir en CA raíz y CA subordinada.
La función principal de CA es emitir y administrar certificados digitales, que incluyen: emisión de certificados, renovación de certificados, revocación de certificados, consulta de certificados, archivo de certificados y publicación de listas de revocación de certificados CRL (lista de revocación de certificados), etc.
Características de CA:
Proceso de emisión de certificado de CA
Proceso de verificación de certificado digital
Figura 1
Figura 2
Figura 3
Proceso de solicitud de certificado
Método de solicitud de certificado
Los principales métodos de solicitud de certificados son los siguientes:
Métodos de revocación de certificados
Los certificados tienen una vida específica, pero la CA puede acortar esta vida mediante un proceso llamado revocación de certificados. La CA publica una lista de revocación de certificados (CRL) que enumera los números de serie de los certificados que se consideran ya no utilizables. La vida útil especificada por la CRL suele ser mucho más corta que la vida útil especificada por el certificado. La CA también puede incluir motivos de revocación del certificado en la CRL. También puede incluir la fecha de inicio a la que se considera aplicable este cambio de estatus.
Se pueden especificar las siguientes situaciones como motivos de revocación de certificado:
1. Topología experimental
2. Requisitos experimentales
3. Planificación de direcciones IP
4. Pasos experimentales
Paso 1: dirección IP y configuración de enrutamiento
Paso 2: Configurar el reloj del servidor CA, Sitio_1, Sitio_2 sincronizar con el reloj de CA. Y asegúrese de que los relojes del Sitio_1 y del Sitio_2 estén sincronizados.
Paso 3: implementar el servidor de certificados
Paso 4: el sitio_1 solicita un certificado del servidor de certificados
Paso 5: el sitio_2 obtiene el certificado
Paso 5: Implementar la configuración VPN IPsec básica de sitio a sitio
Paso 6: Probar la conectividad VPN