华为防火墙基础自学系列 | PKI核心部分CA

视频来源：B站《乾颐堂HCIP-HCIE-security安全 2019年录制》

一边学习一边整理老师的课程内容及试验笔记，并与大家分享，侵权即删，谢谢支持！

附上汇总贴：华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客

---

CA（证书授权颁发机构）

PKI集成了这个概念并使其具有可扩展性：

1. 仅仅只有一个受信任的介绍者（证书颁发机构）

1. CA签署每一个人的公钥

1. 每个人都拥有CA的公钥

1. 每个实体都要获取CA的公钥（认证CA的过程）

1. 每个实体都要提交自己的公钥给CA（注册到PKI）

1. 这个初始步骤，必须手动认证或通过一个可信赖的传输网络来执行

1. CA使用自己的私钥为提交的公钥做数字签名

1. 被数字签了名的公钥（身份证书）再返还给实体

1. 实现现在就可以通过非信任的网络来彼此交换被（CA）签了名的公钥了

1. 收到的公钥都是被CA的公钥所确认的，CA的公钥在每一个实体本地必须是有效的

数字证书

注意：数字证书仅仅只是解决“这个公钥的持有者到底是谁”的问题！

IKE数字签名认证