公钥证书
⑴ ca如何产生公钥证书
CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
证书
证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。
加密:
我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。
解密:
我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。
如何在电子文档上实现签名的目的呢?我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:
信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。
在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些HASH函数的特殊要求是:
1.接受的输入报文数据没有长度限制;
2.对任何输入报文数据生成固定长度的摘要(数字指纹)输出;
3.从报文能方便地算出摘要;
4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;
5.难以生成两个不同的报文具有相同的摘要。
验证:
收方在收到信息后用如下的步骤验证您的签名:
1.使用自己的私钥将信息转为明文;
2.使用发信方的公钥从数字签名部分得到原摘要;
3.收方对您所发送的源信息进行hash运算,也产生一个摘要;
4.收方比较两个摘要,如果两者相同,则可以证明信息签名者的身份。
如果两摘要内容不符,会说明什么原因呢?
可能对摘要进行签名所用的私钥不是签名者的私钥,这就表明信息的签名者不可信;也可能收到的信息根本就不是签名者发送的信息,信息在传输过程中已经遭到破坏或篡改。
数字证书:
答: 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
使用数字证书能做什么?
数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。
认证、数字证书和PKI解决的几个问题?
保密性 - 只有收件人才能阅读信息。
认证性 - 确认信息发送者的身份。
完整性 - 信息在传递过程中不会被篡改。
不可抵赖性 - 发送者不能否认已发送的信息。
⑵ 公钥证书是什么,有什么用,到期了该怎么办
公钥证书,通常简称为证书,是一种数字签名的声明,它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于 X.509v3 证书标准。要了解关于公钥加密的更多信息,请参阅资源:公用密钥结构
⑶ 服务器ssl证书公钥什么时候改变
公钥(Public Key)与私钥(Private Key)是通过公钥算法得到的一个密钥对(即一个公钥和内一个私钥)容,公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。
SSL证书公钥是随着SSL证书签发而产生的,一张证书对应一对公私钥,公钥是不会改变的。
⑷ 公钥证书的在组织中的证书使用
很多组织安装有自己的证书颁发机构,并将证书颁发给内部的设备、服务和雇员,以创建更安全的计算环境。大型组织可能有多个证书颁发机构,它们被设置在指向某个根证书颁发机构的分层结构中。这样,雇员的证书存储区中就可能有多个由各种内部证书颁发机构所颁发的证书,而所有这些证书颁发机构均通过到根证书颁发机构的证书路径共享一个信任连接。
当雇员利用虚拟专用网络 (VPN) 从家里登录到组织的网络时,VPN 服务器可以提供服务器证书以建立起自己的身份。因为公司的根颁发机构被信任,而公司根证书颁发机构颁发了 VPN 服务器的证书,所以,客户端计算机可以使用该连接,并且雇员知道其计算机实际上连接到组织的 VPN 服务器。
在数据可以经过 VPN 连接进行交换之前,VPN 服务器还必须能够验证 VPN 客户端的身份。或者通过交换计算机证书发生计算机级别的身份验证,或者通过使用点对点协议 (PPP) 身份验证方法,发生用户级别的身份验证。对于 L2TP(第二层隧道协议)/IPSec 连接,客户端和服务器双方均需要计算机证书。
客户端计算机证书可以服务于多个目的,这些目的大多数是基于身份验证的,这就允许客户端使用很多组织的资源,而不需要为每个资源分别准备证书。例如,客户端证书可能允许 VPN 连接,还允许访问公司存储 intranet 网站、产品服务器以及存储雇员数据的人力资源数据库。
VPN 服务器证书还可能服务于多个目的。相同的证书可能各种目的:确认电子邮件服务器、Web服务器或者应用程序服务器的身份。颁发证书的证书颁发机构决定每个证书的用途数目。
⑸ 私钥、公钥、证书的区别和关系
1.首先我们需要区分加密和认证这两个基本概念。
加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的真实性。两者的侧重点是不同的。
2.其次我们还要了解公钥和私钥的概念和作用。
在现代密码体制中加密和解密是采用不同的密钥(公开密钥),也就是非对称密钥密码系统,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由个人自己持有,并且必须妥善保管和注意保密。
公钥私钥的原则:
一个公钥对应一个私钥。
密钥对中,让大家都知道的是公钥,不告诉大家,只有自己知道的,是私钥。
如果用其中一个密钥加密数据,则只有对应的那个密钥才可以解密。
如果用其中一个密钥可以进行解密数据,则该数据必然是对应的那个密钥进行的加密。
⑹ SSL中,公钥,私钥,证书的后缀名都是些啥
SSL证书后缀
CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
KEY– 通常用来存放一个RSA 公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
CRT– CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。本站提供的CRT格式等同于CER,等同于PEM。
PEM – Privacy Enhanced Mail的缩写,以文本的方式进行存储。打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是编码. 查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.
CER– 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
DER – Distinguished Encoding Rules的缩写,以二进制方式进行存储,文件结构无法直接预览,查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows服务器偏向于使用这种编码格式.
PFX/P12 – predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个”提取密码”,你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
JKS – 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫”keytool”的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS。
⑺ 公钥证书的颁发给个人的证书
您可以向商业证书颁发机构(例如 Verisign)购买证书,以便发送经过安全加密回或数字签名以证明真实性的答个人电子邮件。
一旦您购买了证书并且用它来数字签名电子邮件,则邮件收件人就可以确认邮件在传输过程中没有发生改变,并且邮件来自于您,当然,先要假设邮件收件人信任向您颁发证书的证书颁发机构。
如果您加密了电子邮件,则没有人可以在传输过程中阅读邮件,而只有邮件收件人可以解密和阅读邮件。
⑻ SSL中,公钥,私钥,证书的后缀名都是些啥
Linux 下的工具们通常使用 base64 编码的文本格式,相关常用后缀如下:
* 证书:.crt, .pem
* 私钥:.key
* 证书请求:.csr
.cer 好像是二进制的证书。当然你也可以把证书和 key 放到同一个文件里边。这时候扩展名通常叫 .pem。Java 的 keystore 什么的都是二进制的,好像是自有格式。
其实在类 UNIX 系统上,关注文件名后缀的程序并不多的。而证书、密钥都是有明显的标识的,所以相关软件(如 openssl)可以处理,而不管你用的什么扩展名。当然乱用扩展名自己识别不便,桌面环境也不能将扩展名与默认操作、图标关联起来。
如果不知道一个文件是个啥,可以使用 file 命令识别试试。有经验的也可以直接拿文本编辑器打开看看。
⑼ 公钥证书的证书
可以为各种功能颁发证书,例如 Web 用户身份验证、Web 服务器身份验证、安全电子邮件(安全/多用途 Internet 邮件扩展 (S/MIME))、Internet 协议安全 (IPSec)、传输层安全 (TLS)以及和代码签名。证书还可以从一个证书颁发机构(CA) 颁发给另一个证书颁发机构,以便创建证书层次结构。
接收证书的实体是证书的“主题”。证书的颁发者和签名者是证书颁发机构。
通常,证书包含以下信息:
主体的公钥值
主体标识符信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识符信息
颁发者的数字签名,用来证实主题的公钥和主题的标识符信息之间绑定关系的有效性
证书只有在指定的期限内才有效;每个证书都包含有效期的起止日期,它们是有效期的界限。一旦到了证书的有效期,到期证书的主题就必须申请一个新的证书。
某些情况下有必要撤消证书中所声明的绑定关系,这时,可以由颁发者吊销该证书。每个颁发者维护一个证书吊销列表,程序可以使用该列表检查任意给定证书的有效性。
证书的主要好处之一是主机不必再为单个主题维护一套密码,这些单个主题进行访问的先决条件的是需要通过身份验证。相反,主机只需在证书颁发者中建立信任。
当主机(如安全 Web 服务器)指派某个颁发者为受信任的根颁发机构时,主机实际上是信任该颁发者过去常用来建立所颁发证书的绑定关系的策略。事实上,主机信任颁发者已经验证了证书主体的身份。主机通过将包含颁发者公钥的颁发者自签名证书放到主机的受信任根证书颁发机构的证书存储区,将该颁发者指定为受信任的根颁发机构。中间的或从属的证书颁发机构受到信任的条件是,他们拥有受信任根证书颁发机构的有效证书路径。
有关证书的详细信息,请参阅理解证书。
⑽ 私钥、公钥、证书的区别和关系
私钥是要求你输入个人密码才可访问的,一般网上银行之类可用到。
公钥不要回求设置密码,是已经默认了的,答一般上一些安全性要求不高的网站或共享资源,如局域网。
证书是一种网站加密浏览方式,只有允许了才可访问,一般为安全性较高的网站,如网上银行;可以访止黑客盗取客户资料。