数字证书

11 来源： https://www.cnblogs.com/MR-Guo/p/11712268.html

讲这些概念之前，先讲讲非对称加密，与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（ publickey ）和私有密钥（ privatekey ）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密通常以 RSA （ Rivest Shamir Ad1eman ）算法为代表。 tips： 上面的概念中， 公钥和私钥都可以加 密解密， 也就是说一个密钥是公钥或者是私钥不是定死的， 是由你在使用的过程中自己划分的。 数字证书 一种文件的名称，好比一个机构或人的签名，能够证明这个机构或人的真实性。其中包含的信息，用于实现上述功能。其作用类似于现实生活中的身份证。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关 ( 证书授权中心 ) 的名称，该证书的序列号等信息。 数字证书是由认证中心颁发的。根证书是认证中心与用户建立信任关系的基础。在用户使用数字证书之前必须首先下载和安装。 认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的

证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、 CSR 、 CRT 、 CRL 、OCSP、SCEP等。 PEM – Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息: 内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。 头信息:表明数据是如果被处理后存放,openssl 中用的最多的是加密信息,比如加密算法以及初始化向量 iv。 信息体:为 BASE64 编码的数据。可以包括所有私钥（RSA 和 DSA）、公钥（RSA 和 DSA）和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据，用 ascii 报头包围，因此适合系统之间的文本模式传输。 使用PEM格式存储的证书： —–BEGIN CERTIFICATE—– MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx ……… 1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU= —–END CERTIFICATE—– 使用PEM格式存储的私钥： —–BEGIN

1）在应用服务器上生成私钥 2）利用私钥生成证书请求文件，CSR文件 3）将CSR文件提交至CA 4）CA核实CSR 请求 5）CA签署数字证书 6）CA将签署的数字证书颁发给请求者 7）在应用服务器上部署数字证书 来源： CSDN 作者： 李立衡 链接： https://blog.csdn.net/LLcmpgheng/article/details/90405500

公钥、私钥、签名、数字证书的关系(图文) 原文地址： https://www.jianshu.com/p/3c5212b47bec 图文解说 鲍勃有两把钥匙，一把是公钥，另一把是私钥。 图文解说 鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。 图文解说 苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密，就可以达到保密的效果 图文解说 鲍勃收信后，用私钥解密，就看到了信件内容。这里要强调的是，只要鲍勃的私钥不泄露，这封信就是安全的，即使落在别人手里，也无法解密。 图文解说 鲍勃给苏珊回信，决定采用** "数字签名"**。他写完后先用Hash函数，生成信件的摘要（digest） 图文解说 然后，鲍勃使用私钥，对这个摘要加密，生成"数字签名"（signature）。 图文解说 鲍勃将这个签名，附在信件下面，一起发给苏珊。 图文解说 苏珊收信后，取下数字签名，用鲍勃的公钥解密，得到信件的摘要。由此证明，这封信确实是鲍勃发出的。 图文解说 苏珊再对信件本身使用Hash函数，将得到的结果，与上一步得到的摘要进行对比。如果两者一致，就证明这封信未被修改过。 图文解说 复杂的情况出现了。道格想欺骗苏珊，他偷偷使用了苏珊的电脑，用自己的公钥换走了鲍勃的公钥。此时，苏珊实际拥有的是道格的公钥，但是还以为这是鲍勃的公钥。因此，道格就可以冒充鲍勃，用自己的私钥做成"数字签名"

一、什么是数字证书 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权(Certificate Authorit y)中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权 中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一 个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有 效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循 ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049; 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的签名。 二、为什么要用数字证书 基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获 得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买

互联网的传输的本质就是在用户端和服务器之间传递信号，如果只是普通的传递，一旦第三方从中间切入，随时就可以截取传递的信息，那么用户就索取不到需要的信息了，再严重一些，如果***盗取了信息并且篡改，那么用户不仅得不到想要的信息而且还会得到错误的信息。 ssl套层的加入就可以避免这种情况，他就像一张过滤网，建立在用户端和服务器之间，将“有害的信息”过滤掉，这样就可以保证用户上网的安全了。那么什么是ssl数字证书呢？ 实际上，ssl数字证书和普通的纸质证书一样，却又不一样，普通的纸质证书一旦损坏就无法复原，但是数字证书是存在网络上的，永远不会消失，但是这种数字证书是一种证实自己身份的象征。如果用户拥有了自己的数字签名，当服务器需要验证的时候，用户出示自己的数字签名，便可以和服务器建立联系。 ssl数字证书有什么作用？ 1、用户在进行在线交易的时候，由于是虚拟状态的交易，使用的付款方式也是虚拟的货币交易完成的，所以很难分辨对方的身份，这时候ssl数字证书作用就凸显出来了，他可以识别对方的身份是否正确，只有身份正确，数字证书这个“通行证”才会放行。如果没有ssl数字证书这个套层，那么交易的信息以及交易的密码都随时有可能被***盗取，如果这种情况盛行，那么就没有用户选择网上交易了。 2、ssl数字证书作用之二就是对传输的信息进行加密，不被***看到。如果用户端向服务器索要一个加密文件

签名和指纹都是数字证书的标识，二者有什么区别呢? 国内没有人解释清楚了这个问题 下面是老外给的答案: 签名和指纹完全是两码事。 对于证书的强度拇指指纹是无关的，但签名是相关的。 证书的签名是颁发者通过签名证书创建的东西。 TLS堆栈(浏览器内部)使用此签名来验证信任链。 这里使用一个强大的算法很重要，这样就没有人可以创建一个假证书，它看起来像是由受信任的颁发者(CA)签名的。 指纹只是证书上的散列。 主要用于人工接收，检查证书是否为预定证书，比如 打电话给 CA认证机构 并说出指纹进行核对。 浏览器是通过签名来验证证书的有效性的，浏览器不会关注指纹。 或者通常用于自签名证书，因为没有可信的颁发者，所以浏览器不能自己验证证书，所以用户应该根据预期手动验证证书。 signature and thumbprint are totally different things. For strength of the certificate thumbprint is irrelevant but signature is relevant. The signature of a certificate is the thing the issuer creates by signing the certificate. This signature is used by the TLS

定义 不对称算法 公钥 私钥 证书 证书的颁发机构的信息 本证书的颁发机构标识 颁发机构对本证书的签名得到的加密结果 证书拥有者的信息 标识 公钥 证书用到的算法 散列算法 不对称算法 颁发机构 给本证书签名的父证书与父证书的私钥的拥有者 CA 证书链 根证书 国际认证机构 颁发主体 本证书与其私钥的拥有者 厂商 软件发行者 签名 使用证书指定的算法对信息进行散列与不对称加密 生成结果： 用到的证书 加密结果 存储区 是保留和管理证书的物理存储区 StoreLocation LocalMachine CurrentUser StoreName Root My AddressBook AuthRoot CertificateAuthority Disallowed TrustedPeople TrustedPublisher 密钥容器 包含一个/对密钥与存储所需的相关信息： 是否允许导出密钥 密钥种类 工具 CertMgr.msc MMC.exe MakeCert.exe Cert2Spc.exe SignTool.exe pvk2pfx.exe 解决 颁发机构与厂商各藏有自己私有的私钥 用户有颁发机构的公钥 用户的操作系统中安装了知名颁发机构的证书 信任关系可以传递 厂商发布的产品若已签名，则此签名的安全信任关系可以一直追踪到用户信任的颁发机构，则此产品是安全的 实践 测试

　　前些天逛技术网，偶尔看到一篇国外关于密钥的通俗易懂的详解文章，当时对具体的细节还是有点模糊搞不清楚，so昨天恶补了一下，今天简单整理一下自己的收获，以备以后回顾。 1.鲍勃有两把钥匙，一把是公钥，另一把是私钥。 2.鲍勃把公钥送给他的朋友们—-帕蒂、道格、苏珊—-每人一把。 3.苏珊给鲍勃写信，写完后用鲍勃的公钥加密，达到保密的效果。 4.鲍勃收信后，用私钥解密，看到信件内容。 5.鲍勃给苏珊回信，写完后用Hash函数，生成信件的摘要（digest）。 6.然后，鲍勃使用私钥，对这个摘要加密，生成”数字签名”（signature）。 7.鲍勃将这个签名，附在信件下面，一起发给苏珊。 8.苏珊收信后，取下数字签名，用鲍勃的公钥解密，得到信件的摘要。由此证明，这封信确实是鲍勃发出的。 9.苏珊再对信件本身使用Hash函数，将得到的结果，与上一步得到的摘要进行对比。如果两者一致，就证明这封信未被修改过。 10.复杂的情况出现了。道格想欺骗苏珊，他偷偷使用了苏珊的电脑，用自己的公钥换走了鲍勃的公钥。因此，他就可以冒充鲍勃，写信给苏珊。 11.苏珊发现，自己无法确定公钥是否真的属于鲍勃。她想到了一个办法，要求鲍勃去找”证书中心”（certificate authority，简称CA），为公钥做认证。证书中心用自己的私钥，对鲍勃的公钥和一些相关信息一起加密，生成”数字证书”（Digital