公鑰證書
⑴ ca如何產生公鑰證書
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。。
CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。
如果用戶想得到一份屬於自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份後,便為他分配一個公鑰,並且 CA 將該公鑰與申請者的身份信息綁在一起,並為之簽字後,便形成證書發給申請者。
如果一個用戶想鑒別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
證書
證書實際是由證書簽證機關(CA)簽發的對用戶的公鑰的認證。
證書的內容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循X.509 國際標准。
加密:
我們將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
解密:
我們將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如何在電子文檔上實現簽名的目的呢?我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名,方法如下:
信息發送者用其私鑰對從所傳報文中提取出的特徵數據(或稱數字指紋)進行RSA演算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也確保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文後,就可以用發送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數) 生成的。對這些HASH函數的特殊要求是:
1.接受的輸入報文數據沒有長度限制;
2.對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
3.從報文能方便地算出摘要;
4.難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
5.難以生成兩個不同的報文具有相同的摘要。
驗證:
收方在收到信息後用如下的步驟驗證您的簽名:
1.使用自己的私鑰將信息轉為明文;
2.使用發信方的公鑰從數字簽名部分得到原摘要;
3.收方對您所發送的源信息進行hash運算,也產生一個摘要;
4.收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。
如果兩摘要內容不符,會說明什麼原因呢?
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者發送的信息,信息在傳輸過程中已經遭到破壞或篡改。
數字證書:
答: 數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。
使用數字證書能做什麼?
數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分,另一部分是私鑰。公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,發送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,發送者要用自己的私鑰對信件進行簽名;收件人可使用發送者的公鑰對簽名進行驗證,以確認發送者的身份。
在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現,電子郵件、在線交易和信用卡購物的安全才能得到保證。
認證、數字證書和PKI解決的幾個問題?
保密性 - 只有收件人才能閱讀信息。
認證性 - 確認信息發送者的身份。
完整性 - 信息在傳遞過程中不會被篡改。
不可抵賴性 - 發送者不能否認已發送的信息。
⑵ 公鑰證書是什麼,有什麼用,到期了該怎麼辦
公鑰證書,通常簡稱為證書,是一種數字簽名的聲明,它將公鑰的值綁定到持有對應私鑰的個人、設備或服務的身份。大多數普通用途的證書基於 X.509v3 證書標准。要了解關於公鑰加密的更多信息,請參閱資源:公用密鑰結構
⑶ 伺服器ssl證書公鑰什麼時候改變
公鑰(Public Key)與私鑰(Private Key)是通過公鑰演算法得到的一個密鑰對(即一個公鑰和內一個私鑰)容,公鑰是密鑰對中公開的部分,私鑰則是非公開的部分。公鑰通常用於加密會話密鑰、驗證數字簽名,或加密可以用相應的私鑰解密的數據。通過這種演算法得到的密鑰對能保證在世界范圍內是唯一的。
SSL證書公鑰是隨著SSL證書簽發而產生的,一張證書對應一對公私鑰,公鑰是不會改變的。
⑷ 公鑰證書的在組織中的證書使用
很多組織安裝有自己的證書頒發機構,並將證書頒發給內部的設備、服務和雇員,以創建更安全的計算環境。大型組織可能有多個證書頒發機構,它們被設置在指向某個根證書頒發機構的分層結構中。這樣,雇員的證書存儲區中就可能有多個由各種內部證書頒發機構所頒發的證書,而所有這些證書頒發機構均通過到根證書頒發機構的證書路徑共享一個信任連接。
當雇員利用虛擬專用網路 (VPN) 從家裡登錄到組織的網路時,VPN 伺服器可以提供伺服器證書以建立起自己的身份。因為公司的根頒發機構被信任,而公司根證書頒發機構頒發了 VPN 伺服器的證書,所以,客戶端計算機可以使用該連接,並且雇員知道其計算機實際上連接到組織的 VPN 伺服器。
在數據可以經過 VPN 連接進行交換之前,VPN 伺服器還必須能夠驗證 VPN 客戶端的身份。或者通過交換計算機證書發生計算機級別的身份驗證,或者通過使用點對點協議 (PPP) 身份驗證方法,發生用戶級別的身份驗證。對於 L2TP(第二層隧道協議)/IPSec 連接,客戶端和伺服器雙方均需要計算機證書。
客戶端計算機證書可以服務於多個目的,這些目的大多數是基於身份驗證的,這就允許客戶端使用很多組織的資源,而不需要為每個資源分別准備證書。例如,客戶端證書可能允許 VPN 連接,還允許訪問公司存儲 intranet 網站、產品伺服器以及存儲雇員數據的人力資源資料庫。
VPN 伺服器證書還可能服務於多個目的。相同的證書可能各種目的:確認電子郵件伺服器、Web伺服器或者應用程序伺服器的身份。頒發證書的證書頒發機構決定每個證書的用途數目。
⑸ 私鑰、公鑰、證書的區別和關系
1.首先我們需要區分加密和認證這兩個基本概念。
加密是將數據資料加密,使得非法用戶即使取得加密過的資料,也無法獲取正確的資料內容,所以數據加密可以保護數據,防止監聽攻擊。其重點在於數據的安全性。身份認證是用來判斷某個身份的真實性,確認身份後,系統才可以依不同的身份給予不同的許可權。其重點在於用戶的真實性。兩者的側重點是不同的。
2.其次我們還要了解公鑰和私鑰的概念和作用。
在現代密碼體制中加密和解密是採用不同的密鑰(公開密鑰),也就是非對稱密鑰密碼系統,每個通信方均需要兩個密鑰,即公鑰和私鑰,這兩把密鑰可以互為加解密。公鑰是公開的,不需要保密,而私鑰是由個人自己持有,並且必須妥善保管和注意保密。
公鑰私鑰的原則:
一個公鑰對應一個私鑰。
密鑰對中,讓大家都知道的是公鑰,不告訴大家,只有自己知道的,是私鑰。
如果用其中一個密鑰加密數據,則只有對應的那個密鑰才可以解密。
如果用其中一個密鑰可以進行解密數據,則該數據必然是對應的那個密鑰進行的加密。
⑹ SSL中,公鑰,私鑰,證書的後綴名都是些啥
SSL證書後綴
CSR – Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(當然還附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.做過iOS APP的朋友都應該知道是怎麼向蘋果申請開發者證書的吧.
KEY– 通常用來存放一個RSA 公鑰或者私鑰,並非X.509證書,編碼同樣的,可能是PEM,也可能是DER.
CRT– CRT應該是certificate的三個字母,其實還是證書的意思,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,大多數應該是PEM編碼。本站提供的CRT格式等同於CER,等同於PEM。
PEM – Privacy Enhanced Mail的縮寫,以文本的方式進行存儲。打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是編碼. 查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX伺服器偏向於使用這種編碼格式.
CER– 還是certificate,還是證書,常見於Windows系統,同樣的,可能是PEM編碼,也可能是DER編碼,大多數應該是DER編碼.
DER – Distinguished Encoding Rules的縮寫,以二進制方式進行存儲,文件結構無法直接預覽,查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows伺服器偏向於使用這種編碼格式.
PFX/P12 – predecessor of PKCS#12,對*nix伺服器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全?應該不會,PFX通常會有一個」提取密碼」,你想把裡面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼?
JKS – 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫」keytool」的工具,可以將PFX轉為JKS,當然了,keytool也能直接生成JKS。
⑺ 公鑰證書的頒發給個人的證書
您可以向商業證書頒發機構(例如 Verisign)購買證書,以便發送經過安全加密回或數字簽名以證明真實性的答個人電子郵件。
一旦您購買了證書並且用它來數字簽名電子郵件,則郵件收件人就可以確認郵件在傳輸過程中沒有發生改變,並且郵件來自於您,當然,先要假設郵件收件人信任向您頒發證書的證書頒發機構。
如果您加密了電子郵件,則沒有人可以在傳輸過程中閱讀郵件,而只有郵件收件人可以解密和閱讀郵件。
⑻ SSL中,公鑰,私鑰,證書的後綴名都是些啥
Linux 下的工具們通常使用 base64 編碼的文本格式,相關常用後綴如下:
* 證書:.crt, .pem
* 私鑰:.key
* 證書請求:.csr
.cer 好像是二進制的證書。當然你也可以把證書和 key 放到同一個文件里邊。這時候擴展名通常叫 .pem。Java 的 keystore 什麼的都是二進制的,好像是自有格式。
其實在類 UNIX 系統上,關注文件名後綴的程序並不多的。而證書、密鑰都是有明顯的標識的,所以相關軟體(如 openssl)可以處理,而不管你用的什麼擴展名。當然亂用擴展名自己識別不便,桌面環境也不能將擴展名與默認操作、圖標關聯起來。
如果不知道一個文件是個啥,可以使用 file 命令識別試試。有經驗的也可以直接拿文本編輯器打開看看。
⑼ 公鑰證書的證書
可以為各種功能頒發證書,例如 Web 用戶身份驗證、Web 伺服器身份驗證、安全電子郵件(安全/多用途 Internet 郵件擴展 (S/MIME))、Internet 協議安全 (IPSec)、傳輸層安全 (TLS)以及和代碼簽名。證書還可以從一個證書頒發機構(CA) 頒發給另一個證書頒發機構,以便創建證書層次結構。
接收證書的實體是證書的「主題」。證書的頒發者和簽名者是證書頒發機構。
通常,證書包含以下信息:
主體的公鑰值
主體標識符信息(如名稱和電子郵件地址)
有效期(證書的有效時間)
頒發者標識符信息
頒發者的數字簽名,用來證實主題的公鑰和主題的標識符信息之間綁定關系的有效性
證書只有在指定的期限內才有效;每個證書都包含有效期的起止日期,它們是有效期的界限。一旦到了證書的有效期,到期證書的主題就必須申請一個新的證書。
某些情況下有必要撤消證書中所聲明的綁定關系,這時,可以由頒發者吊銷該證書。每個頒發者維護一個證書吊銷列表,程序可以使用該列表檢查任意給定證書的有效性。
證書的主要好處之一是主機不必再為單個主題維護一套密碼,這些單個主題進行訪問的先決條件的是需要通過身份驗證。相反,主機只需在證書頒發者中建立信任。
當主機(如安全 Web 伺服器)指派某個頒發者為受信任的根頒發機構時,主機實際上是信任該頒發者過去常用來建立所頒發證書的綁定關系的策略。事實上,主機信任頒發者已經驗證了證書主體的身份。主機通過將包含頒發者公鑰的頒發者自簽名證書放到主機的受信任根證書頒發機構的證書存儲區,將該頒發者指定為受信任的根頒發機構。中間的或從屬的證書頒發機構受到信任的條件是,他們擁有受信任根證書頒發機構的有效證書路徑。
有關證書的詳細信息,請參閱理解證書。
⑽ 私鑰、公鑰、證書的區別和關系
私鑰是要求你輸入個人密碼才可訪問的,一般網上銀行之類可用到。
公鑰不要回求設置密碼,是已經默認了的,答一般上一些安全性要求不高的網站或共享資源,如區域網。
證書是一種網站加密瀏覽方式,只有允許了才可訪問,一般為安全性較高的網站,如網上銀行;可以訪止黑客盜取客戶資料。