配置CA互操作性之－－关于ca

!关于ca互操作性
没有ca互操作性,cisco ios设备实施ipsec时不能使用ca们。ca提供了一种可管理，可扩展的解决方案给ipsec网络。
#支持的标准有
·IPSec—IP Security Protocol
·Internet Key Exchange (IKE)
·Public-Key Cryptography Standard #7 (PKCS #7)
·Public-Key Cryptography Standard #10 (PKCS #10)
·RSA Keys
·X.509v3 certificates
#局限性
当配置你的ca的时候，会有以下的局限性：
·这个特性，只有你在网络中把ipsec和ike都启动了才能用。
·cisco ios软件不支持大于2048位的ca server公钥。
#先决条件
在你配置这个互操作性特性之前，你必须有一个certification authority 服务器，这个ca必须支持cisco system的pki协议，SCEP协议。

!关于ca

#ca的目的
ca是用来响应管理认证请求和实施认证来多方ipsec网络的设备这些服务提供集中key管理给由多方设备们。
ca简单化ipsec网络设备的管理。你可以在有包含多ipsec兼容设备（如路由器）的网络中使用ca。
数字签名，通过公钥加密开启，它提供一种，数码地验证设备和单独的用户的手段。在公钥密码学中，像rsa加密系统，每个用户有一个钥匙对包含一个公钥和一个私钥。key们扮演互补的角色，且任何使用一个key加了密的东西，能用另一个来解密。
在简单的条件下，一个签名是在数据被使用一个用户的密钥加密的时候形成的。接受者使用发送者的公钥来辨认解密这消息的签名。事实上这消息可以使用发送者的公钥显示持有者的私钥进行解密，发送者，必须已经建立了这个消息。这个过程，减弱了接受者的对发送者的公钥拷贝和认证度确信程度。
数字认证提供一条链路。数据认证包含需要认证的用户或设备的信息，如名字，序列号，公司，部门，或者ip地址。它也包含一份公钥的拷贝。认证本身由ca来认证，一个明确被接收者信任的有效识别的且用来建立数字认证的第三方。
为了提供ca的签名，接收者必须首先知道ca的公钥。正常情况下，这个过程是由out-of-band或者通过一个安装过程中的操作来完成的。例如，大多数浏览器默认是由几个ca的公钥来配置的。internet key exchange(ike),ipsec的一个重要零件，可以在建立安全关联之前使用数字签名来扩展认证对等体设备。
没有数字签名，一必须在使用ipsec保护的设备彼此之间手动地交换公钥或者秘密。没有认证，每个新的设备加到网络中需要在其他每个设备都要与它安全通讯，他们交换认证和数字标识数据来认证彼此。当一个新的设备添加到网络中，使用ca进行一个简单的登记，且没有其他设备需要需要管理。当这个新的设备试图建立一个ipsec连接，认证自动地交换，设备可以被认证。

本新闻共3页,当前在第1页 1 2 3

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有