数字证书

SSL 证书就是遵守SSL安全套接层协议的服务器数字证书。SSL证书的主要用途有： 1．让在线用户能在线查询网站服务器的真实身份。 2．确保用户输入的登录密码能从用户电脑自动加密传输到服务器，增强用户的信任度。 3．部署SSL证书就等于该网站已经按照有关法律法规要求采取了可靠的技术措施，这对于企业的健康发展非常重要。 来源： 51CTO 作者： 米老鼠吖 链接： https://blog.51cto.com/14377747/2478277

准备工作（1）了解证书链 本文介绍如下内容： 1. 了解证书链 2. 使用OPENSSL和 微软提供的示例工具生成自签名证书并应用在IoT Hub/DPS中； 视频讲解： 您可以在B站观看视频讲解: https://www.bilibili.com/video/av92976806/ 或在本站观看： https://www.51azure.cloud/post/2020/3/3/azure-iot-5-iot-x509-cert-chain 图文讲解： 数字证书是用来认证公钥持有者身份合法性的电子文档，以防止第三方冒充行为。数字证书由 CA（Certifacate Authority） 负责签发，关键内容包括 颁发s者 、 证书有效期 、 使用者组织 、 使用者公钥 等信息。 数字证书涉及到一个名为 PKI（Public Key Infrastructure） 的规范体系，包含了数字证书格式定义、密钥生命周期管理、数字签名及验证等多项技术说明，不在本文中详细展开。 签发证书的过程 撰写证书元数据：包括 签发人(Issuer) 、 地址 、 签发时间 、 有效期 等，还包括证书持有者(Owner)基本信息，比如 DN(DNS Name，即证书生效的域名) 、 Owner 公钥 等信息 使用通用的 Hash 算法（如SHA-256）对证书元数据计算生成 数字摘要 使用 Issuer

数字签名原理简介（附数字证书） 首先要了解什么叫对称加密和非对称加密，消息摘要这些知识。 1. 非对称加密 在通信双方，如果使用非对称加密，一般遵从这样的原则：公钥加密，私钥解密。同时，一般一个密钥加密，另一个密钥就可以解密。 因为公钥是公开的，如果用来解密，那么就很容易被不必要的人解密消息。因此， 私钥也可以认为是个人身份的证明。 如果通信双方需要互发消息，那么应该建立两套非对称加密的机制（即两对公私钥密钥对），发消息的一方使用对方的公钥进行加密，接收消息的一方使用自己的私钥解密。 2.消息摘要 消息摘要可以将消息哈希转换成一个固定长度的值唯一的字符串。值唯一的意思是不同的消息转换的摘要是不同的，并且能够确保唯一。 该过程不可逆 ，即不能通过摘要反推明文（似乎SHA1已经可以被破解了，SHA2还没有。一般认为不可破解，或者破解需要耗费太多时间，性价比低）。 利用这一特性， 可以验证消息的完整性。 消息摘要通常用在数字签名中，下面介绍用法。 了解基础知识之后，就可以看一下数字签名和数字证书了。 3.数字签名 假设现在有通信双方A和B，两者之间使用两套非对称加密机制。 现在A向B发消息。 那么，如果在发送过程中，有人修改了里面密文消息，B拿到的密文，解密之后得到明文，并非A所发送的，信息不正确。 要解决两个问题：1. A的身份认证 2. A发送的消息完整性

预备： 一、密码基元 二、密钥管理 三、PKI本质是把非对称密钥管理标准化 PKI 是 Public Key Infrastructure 的缩写，其主要功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径，并利用数字证书及相关的各种服务（证书发布，黑名单发布，时间戳服务等）实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。 数字证书分类 一、 什么是PKI？ 官方定义：PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI技术是一种遵循既定标准的密钥管理平台，它的基础是加密技术，核心是证书服务，支持集中自动的密钥管理和密钥分配，能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。 通俗理解：PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施，是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体，PKI可以用来建立不同实体间的"信任"关系，它是目前网络安全建设的基础与核心。PKI的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务，包括身份证书和密钥管理、机密性

OpenSSL 转换证书格式 原创 2016-08-30 景峯 Netkiller 工作中我相信你一定会遇到处理数字证书的时候。各种平台，各种语言，它们采用的证书格式与标准都不相同，多多少少存在一些差异。实际上证书仍然是那个证书，只是格式发生了变化。 公私钥 分开存储 公私钥合并为一个文件 有些采用二进制文件 有些事二进制文件做了BASE64编码 有些证书做了签名 有些证书加入了密码 不同组织有不同的编码。例如微软喜欢使用 x509 下面内容节节选自《Netkiller Cryptography 手札》 接下来几天我们将讨论密钥证书相关话题。 文章出处: http://www.netkiller.cn/cryptography/index.html 7.7. 证书转换 PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。 常用的有： PKCS#7 Cryptographic Message Syntax Standard PKCS#10 Certification Request Standard PKCS#12 Personal Information Exchange Syntax Standard X

11.3 PKCS标准 公钥密码标准（PKCS）最初是为推进公钥密码系统的互操作性，由RSA实验室与工业界、学术界和政府代表合作开发的。在RSA带领下，PKCS的 研究随着时间不断发展，它涉及了不断发展的PKI格式标准、算法和应用程序接口。PKCS标准提供了基本的 数据格式定义 和 算法定义 ，它们实际是今天所有 PKI实现的基础。 11.3.1 PKCS标准的内容 PKCS标准如下： （1）PKCS#1：RSA加密标准。PKCS#1定义了RSA公钥函数的基本格式标准，特别是数字签名。它定义了数字签名如何计算，包括待签名数据和签名本身的格式；它也定义了PSA公/私钥的语法。 （2）PKCS#2：涉及了RSA的消息摘要加密，这已被并入PKCS#1中。 （3）PKCS#3：Diffie-Hellman密钥协议标准。PKCS#3描述了一种实现Diffie- Hellman密钥协议的方法。 （4）PKCS#4：最初是规定RSA密钥语法的，现已经被包含进PKCS#1中。 （5）PKCS#5：基于口令的加密标准。PKCS#5描述了使用由口令生成的密钥来加密8位位组串并产生一个加密的8位位组串的方法。PKCS#5可以用于加密私钥，以便于密钥的安全传输（这在PKCS#8中描述）。 （6）PKCS#6：扩展证书语法标准。PKCS#6定义了提供附加实体信息的X.509证书属性扩展的语法（当PKCS

关于 GlobalSign SSL 数字证书 服务，请查看以下网址： http://cn.globalsign.com/ssl/ssl.html 在各式各样支付方式改变网民的消费特性时，网上支付安全也同样面临了前所未有的威胁。SSL 数字证书业者 GlobalSign 指出，目前电子商务发展中，主要以钓鱼网站为主要威胁，而恶意木马程序和钓鱼网站相结合也已经成了网络诈骗的最新特点。如何远离木马、钓鱼威胁，建议您必须学会识别网站真实身分。 目前国内有许多可信网站验证工具，各大国内知名浏览器业者也都自行开发自己的可信网站验证系统。然而，众多的身分验证工具中， GlobalSign 指出，SSL 数字证书是性价比最高的网站身分验证工具，是电商业者通行全球的最佳网站身份证。 数字证书是用于在网络上标识个人或者机构身份的一种技术手段，它通过由一些公认的权威机构所认证，从而可以保证其安全地被应用在各种场合。 来源： oschina 链接： https://my.oschina.net/u/930003/blog/99848

openssl生成pem数字证书 生成RSA密钥的方法 openssl genrsa -des3 -out privkey.pem 2048 这个命令会生成一个2048位的密钥，同时有一个des3方法加密的密码，如果你不想要每次都输入密码，可以改成： openssl genrsa -out privkey.pem 2048 建议用2048位密钥，少于此可能会不安全或很快将不安全。 生成一个证书请求 openssl req -new -key privkey.pem -out cert.csr 这个命令将会生成一个证书请求，当然，用到了前面生成的密钥 privkey.pem 文件 这里将生成一个新的文件 cert.csr ，即一个证书请求文件，你可以拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书。CA会给你一个新的文件 cacert.pem ，那才是你的数字证书。 如果是自己做测试，那么证书的申请机构和颁发机构都是自己。就可以用下面这个命令来生成证书： openssl req -new -x509 -key privkey.pem -out cacert.pem -days 3650 这个命令将用上面生成的密钥 privkey.pem 生成一个数字证书 cacert.pem 以上步骤或直接使用一个命令即可： openssl req -x509 -newkey rsa

JDK(keytool.exe)生成数字证书 2010-11-21 15:52 QUOTE: keytool JAVA是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥（以证书形式）。通过keytool –help查看其用法，详细信息可以参考 http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html 创建证书Java 中的 keytool.exe （位于 JDK/Bin 目录下）可以用来创建数字证书，所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件，数字证书文件只包括主体信息和对应的公钥。 每一个证书库是一个文件组成，它有访问密码，在首次创建时，它会自动生成证书库，并要求指定访问证书库的密码。 在创建证书的的时候，需要填写证书的一些信息和证书对应的私钥密码。这些信息包括 CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx，它们的意思是： ? CN（Common Name - 名字与姓氏）：其实这个“名字与姓氏”应该是域名

原文链接： https://www.jianshu.com/p/39ad3e40f7af 备份如下： HTTPS协议之通信加密过程分析 一、准备知识 在开始介绍前，需要首先了解一下消息摘要、数字签名、数字证书的知识 1、消息摘要 - Message Digest 消息摘要(Message Digest) ，又称数字摘要（Digital Digest）或数字指纹（Finger Print）。简单来说，消息摘要就是在消息数据上，执行一个单向的Hash函数，生成一个固定长度的Hash值，这个Hash值即是消息摘要，Hash算法有MD5，SHA。它有以下特征： 无论输入的消息有多长，计算出来的消息摘要的长度总是固定的。例如应用MD5算法摘要的消息有128个比特位，用SHA-1算法摘要的消息最终有160比特位的输出，SHA-1的变体可以产生192比特位和256比特位的消息摘要。一般认为，摘要的最终输出越长，该摘要算法就越安全。 消息摘要看起来是“随机的”。这些比特看上去是胡乱的杂凑在一起的。可以用大量的输入来检验其输出是否相同，一般，不同的输入会有不同的输出，而且输出的摘要消息可以通过随机性检验。但是，一个摘要并不是真正随机的，因为用相同的算法对相同的消息求两次摘要，其结果必然相同；而若是真正随机的，则无论如何都是无法重现的。因此消息摘要是“伪随机的”。 消息摘要函数是单向函数