SANGFORSSL VPNV42CA认证技术说明01.docx
《SANGFORSSL VPNV42CA认证技术说明01.docx》由会员分享,可在线阅读,更多相关《SANGFORSSL VPNV42CA认证技术说明01.docx(14页珍藏版)》请在冰点文库上搜索。
SANGFORSSLVPNV42CA认证技术说明01
SSLVPNV4.2
CA认证技术说明
深信服科技有限公司
2010年1月6日
目录
第1章CA认证原理1
1.1CA的由来:
1
1.2CA说明:
1
1.3数字签名:
1
1.4证书2
1.5CA的认证过程:
3
第2章深信服CA认证4
第1章CA认证原理
1.1CA的由来:
网络是个开放的环境,在网络上通讯的双方无法有一种很好的方式确定对方的身份,所以,引入第三方的权威机构CA,通讯的双方都认为CA就如公安局一样是绝对可信任的。
然后由CA给通讯的双方颁发证书(身份证),通讯的双方在接受到对方的这个证书的时候,就验证是否是CA签发的,若是CA(公安局)签发的,就说明该身份证是可靠的,上面的身份信息是准确无误的,从而达到在开放的网络环境中确认对方身份的目的。
1.2CA说明:
CA(CertificateAuthority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。
CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
CA是基于非对称加密体系的。
1.3数字签名:
非对称加密:
在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。
使用公钥进行加密,只能使用私钥进行解密;同样,使用私钥进行加密,只能使用公钥进行解密,通过公私钥的绝对配对,确保信息的无误。
在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。
哈希算法:
哈希算法将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值。
哈希值是一段数据唯一且极其紧凑的数值表示形式。
如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。
要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性。
数字签名使用的是非对称加密算法+哈希算法,用于验证数据完整性和保证数据不可篡改性。
数字签名的验证过程如下:
验证端通过判断DataH1和DataH2是否相同,来判断Data是否遭到篡改(前提是公钥、私钥是否对应),来保证数据的正确和完整性。
1.4证书
在公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认(CA),并加上这个权威机构的签名,这就形成了证书。
由于证书上有权威机构的签字,所以大家都认为证书上的内容是可信任的;又由于证书上有主人的名字等身份信息,别人就很容易地知道公钥的主人是谁。
一个完整的证书上包含以下几部分:
1 X.509版本号:
指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息。
目前的版本是3。
2 证书持有人的公钥:
包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数。
3 证书的序列号:
由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(CertificateRevocationList证书作废表,或证书黑名单表)中。
这也是序列号唯一的原因。
4 主题信息:
证书持有人唯一的标识符(或称DN-distinguishedname)这个名字在Internet上应该是唯一的(对方的身份-我们需要获取的信息)。
DN由许多部分组成,看起来象这样:
需要
CN=BobAllen,OU=TotalNetworkSecurityDivision
O=NetworkAssociates,Inc.
C=US
这些信息指出该科目的通用名、组织单位、组织和国家或者证书持有人的姓名、服务处所等信息。
5 证书的有效期:
证书起始日期和时间以及终止日期和时间;指明证书在这两个时间内有效。
6 认证机构:
证书发布者,是签发该证书的实体唯一的CA的X.500名字。
使用该证书意味着信任签发证书的实体。
(注意:
在某些情况下,比如根或顶级CA证书,发布者自己签发证书)
7 发布者的数字签名(权威机构CA的签名-DataHS):
这是使用发布者私钥生成的签名,以确保这个证书在发放之后没有被撰改过。
8 签名算法标识符:
用来指定CA签署证书时所使用的签名算法。
算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法。
1.5CA的认证过程:
CA自己也拥有一个证书,这个证书称为根证书,内含有CA的公钥,而私钥由CA自己保管,用于签发证书的时候在上面进行权威机构签名(公安部盖章)。
网上的公众用户通过验证CA的签字从而信任CA,任何人可以得到CA的这个根证书(含公钥),用以验证它所签发的证书。
用户若想得到一份属于自己的证书(身份证)的时候,他需要向CA提出申请。
在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。
如果一个用户想鉴别另一个证书的真伪,他就用CA根证书中所包含的公钥对那个证书上的签字进行验证(如前所述,CA签字实际上是经过CA私钥加密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一经验证通过,该证书就被认为是有效的。
CA除了签发证书之外,它的另一个重要作用是证书和密钥的管理。
证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。
CA相当于网上公安局,专门发放、验证身份证。
第2章深信服CA认证
深信服SSL证书认证为双方的认证,在用户在输入SSLVPN地址登录的时候会检查SSLVPN设备的证书,在用户提交身份验证信息的时候SSLVPN设备需要检查用户浏览器中数字证书(即设置数字证书认证时为该用户绑定的证书)。
深信服CA认证支持自建CA(SSLVPN设备中内置有一个CA中心)和使用第三方CA认证两种方式,在实际使用的时候,只能在自建CA和使用第三方CA两种方式中二选其一,并且设备只支持一个CA。
深信服CA说明:
公钥私钥生成
根据设备随机信号产生,按照RSA算法算出公私钥
证书签发
支持集中管理式和基于web分布式
证书介质
硬盘、软盘、智能卡和专用USBKEY,支持硬件特征码绑定,特定USBKEY防导出等捆绑功能
证书发行
系统支持所有符合LDAP,RADIUS标准的目录服务系统
证书吊销
系统提供吊销失效证书与恢复证书功能,产生、发布和管理证书作废列表(CRL)。
时间戳服务
实现TSA(TimeStampAuthority),提供加盖和验证可信时间戳服务
标准性
完全基于PKI架构设计,支持PKI的各种标准,遵循IETFX.509V3、RSA、PKCS系列、SSL、CSP等国际和工业标准,提供良好的开放性与互操作性;
兼容性
支持第三方CA
自定义
支持用户根据自身特征如单位名称,部门,编号等信息自定义根证书
有效期定义
支持定义证书有效期,过期销毁
权限分配
对不同证书使用者分配细粒度权限,可细化到服务种类
与VPN结合
与SSLVPN完美结合,与SSL握手,协商过程无缝结合
安全性
与VPN硬件一体化,前置企业级状态检测防火墙。
具备防DDOS功能。
可双机热备
1.自建CA:
(1)管理员端
SSLVPN设置-高级设置-CA中心配置-更新证书
选择企业自建CA,点击下一步,输入根证书信息(建立CA根证书)
点击下一步,输入SSL证书信息,SSL证书是颁发给我们设备的证书。
我们SSLVPN设备的证书认证是双向认证的,用户可通过验证SSL证书来选择是否相信我们的SSLVPN设比,是否登录SSLVPN。
点击下一步,确认更新证书。
点击查看证书,可查看到刚建立的CA根证书和SSL证书。
设置用户使用数字证书认证:
SSLVPN设置-用户管理-用户数据,点击下载并安装DKEY驱动。
然后点击新建用户,设置好用户名、密码等信息后,在认证方式中勾选数字证书/DKEY认证。
若是要生成有驱KEY认证,即将数字证书导入到KEY中,需先将KEY插入到USB接口中,若是普通的数字证书认证,直接点击子生成证书并点击下一步。
输入需要发放给该用户证书的信息,点击完成并将后缀为.p12的证书保存在本地。
若是选择DKEY有驱的方式,就将证书烧录到KEY中。
(2)客户端
可通过内部邮件等方式将该数字证书发放到用户的主机之后,用户双击证书文件进行浏览器的证书安装。
输入证书创建时候的密码。
完成证书导入之后,可以在浏览器的Internet选项中查看到该证书。
可以查看该到证书颁发者即为前面所建的CA。
用户从SSLVPN前台登录,在第一次登陆的时候会看到安全警报,这个安全警报就是客户端通过检验SSLVPN设备的证书(即CA配置的时候创建的SSL证书)时,发现该证书并不在浏览器的证书列表中,所产品的安全警报。
可查看证书的信息:
颁发者显示该证书的颁发者为CA-cpxx
主题中显示证书的持有者为SSLVPN设备-ssl
通过安装证书可消除该安全警报。
之后登录到SSLVPN设备登录界面,输入用户名密码之后,该验证信息将连同浏览器中的数字证书信息一起提交到SSLVPN设备,设备通过对应的用户名找到所绑定的数字证书信息并进行验证,来判断是否允许该用户接入。
(1)使用第三方CA
深圳市南山区麒麟路1号科技创业中心4楼
Add:
4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:
518052
产品咨询热线:
800-830-9565
Email:
master@
升级会员 