数字证书基本知识总结

最新推荐文章于 2024-04-09 19:02:05 发布
最新推荐文章于 2024-04-09 19:02:05 发布
阅读量4.3k 收藏 11
点赞数
分类专栏: security 文章标签: 数字证书 签名验证 openssl keystore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meng564764406/article/details/79156559
版权

本章用于普及证书基本知识,个人总结,如有不对欢迎指正。

其他配套章节:

OPENSSL证书及格式转换

keystore或者JKS证书及转换

开头普及一下证书知识,先说通俗的讲解,证书一般分为两种组成,私钥、公钥,这是一套数字证书,有人说证书通过后缀来判断,比如.pem,.cer.crt等,这是很不科学的。名字后缀也是名字,只是让你更清楚的知道这是什么类型的,可不是看到这种类型的就认为他是私钥或者公钥。

当然自己在创建私钥公钥的时候尽量遵守后缀的规则,不然你自己也忘了这个什么样的东东了。
那么规则有什么呢,我简单说几种我常用的类型。至于其他的可以在下文找到答案。

后缀

含义

备注

.pem

BASE64编码的公私钥文件,可以查看内容

 

.pfx /.keystore

证书仓库,里面包含一对公私钥,同时还可以导入多种公钥证书

这个一般很固定,命名很规范

.crt .cer .der

一般公钥,内荣不可查看

 

以上几种,就是我经常使用几种证书。

记住两点,无论证书是什么格式的证书不要用后缀来判断,没有什么直接关系。

二,证书格式转换了,但是证书内容不会变。比如a.pem通过转换成了b.cer格式证书,除了调用这个证书的方式变了,内容没变,实质还是a.pem。

先说些概念性的东西

PKCS证书 

PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard

X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。 

PKCS#7 常用的后缀是: .P7B .P7C .SPC
PKCS#12 常用的后缀有: .P12 .PFX
X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT 

---------------------------------------------------------------------------
.der/.cer/.crt是用于存放证书,不含私钥,前两者为二进制存储,crt文件可能是二进制的,也可能是文本格式的,应该以文本格式居多。
.pem跟crt/cer的区别是它以Ascii来表示,一般是文本格式的,可以放证书或者私钥,pem如果只含私钥的话,一般用.key扩展名,而且可以有密码保护。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式,二进制格式。
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。
-------------------------------------------------------------------------------
文本格式转换为二进制,一般将字符串用base64解码,即二进制。
-------------------------------------------------------------------------------
对于以上各种证书来说,它们的保存类型有pem和der两种,pem代表着以文本格式保存的公私钥,der是以二进制保存的公私钥。

Java数字证书 keystore类型
Java自带的keytool工具是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥(以证书形式)。 
keytool 将密钥和证书储存在一个所谓的密钥仓库(keystore)中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥

ketstore类型和JKS类型从理论上来说,两种是同样的类型。

JKS和JCEKS是Java密钥库(KeyStore)的两种比较常见类型(我所知道的共有5种,JKS, JCEKS, PKCS12, BKS,UBER)。
JKS的Provider是SUN,在每个版本的JDK中都有,JCEKS的Provider是SUNJCE,1.4后我们都能够直接使用它。
JCEKS在安全级别上要比JKS强,使用的Provider是JCEKS(推荐),尤其在保护KeyStore中的私钥上(使用TripleDes)。
PKCS#12是公钥加密标准,它规定了可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件,在windows中可以直接导入到密钥区,注意,PKCS#12的密钥库保护密码同时也用于保护Key。
BKS 来自BouncyCastle Provider,它使用的也是TripleDES来保护密钥库中的Key,它能够防止证书库被不小心修改(Keystore的keyentry改掉1个 bit都会产生错误),BKS能够跟JKS互操作,读者可以用Keytool去TryTry。
UBER比较特别,当密码是通过命令行提供的时候,它只能跟keytool交互。整个keystore是通过PBE/SHA1/Twofish加密,因此keystore能够防止被误改、察看以及校验。以前,Sun JDK(提供者为SUN)允许你在不提供密码的情况下直接加载一个Keystore,类似cacerts,UBER不允许这种情况。



Lynn_Meng
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络与信息安全知识点.总结.doc
07-14
计算机病毒最本质的特点 破坏性 一个密文块损坏会造成连续两个明文块损坏的 DES 工作模式 密码分组链接 CBC 为了避免访问控制表过于庞大的方法 分类组织成组 公钥密码算法不会取代对称密码的原因 公钥密码算法复杂,加解密速度慢,不适合加密大量数据 入侵检测系统的功能部件 事件生成器,事件分析器,事件数据库,响应单元,目录服务器 访问控制实现方法 访问控制矩阵,列:访问控制表,行:访问能力表 PKI 的组成 权威认证机构( CA)、数字证书库、密钥备份及恢复系统、证书作废系统、 应用接口( API) 公钥密码的两种基本用途 数据加密、数字签名 SHA-1 算法的输出为多少比特的消息摘要 160 比特 Kerberos的设计目标 解决分布式网络下,用户访问网络使得安全问题,阻止非授权用户获得其无 权访问的服务或数据。 PKI 管理对象 证书、密钥、证书撤销列表 防火墙的基本技术 包过滤技术,代理服务技术,状态检测技术,自适应代理技术。 防止行为抵赖,属于什么的研究范畴 数字签名 完整的数字签名过程包括哪两个过程 签名过程、验证签名过程 用户认证的依据主要包括哪些 用户所知道的东西:如口令
数据库系统工程师考试高分总结备忘录.docx
08-06
数据库系统工程师软考总结,总共总结了126个典型知识点,下载请慎重,尤其没有IT经验的人请勿下载,我想对有数据库操作经验的人有一定帮助,本人亲自考试前记录的备忘录,上下午考试都在65分以上,满分75. 以下是几个总结示例: 1. 数据字典,即元数据,而不是数据本身。 数据字典包括数据项、数据结构、数据流、数据存储和数据处理过程5个部分 2. 结构化设计方法是一种面向数据流的设计方法,与结构化分析方法衔接。 在需求分析阶段,结构化分析方法产生了数据流图,而在设计阶段,结构化设计方法将数据流映射为软件系统的模块结构。数据流图中从系统的输入数据流到系统的输出数据流的一连串变换形成了一条信息流。其中的信息流一般情况下包括变换流型和事物流型。不同类型的数据流到程序模块的映射方法不同。一个软件系统往往不仅仅有一种数据流类型。 3. Putnam和COCOMO都是软件成本估算模型。 Putnam 是动态的相当于根据功能点和人员情况进行工时评估 COCOMO 分为基础、中级、 和详细: 基础相当于整体估计,比如一个CRM 五万。 中级相当于再细分模块,每个模块估计。 详细,是再细分模块和功能点进行估价 4. 运算器也称ALU: 算术逻辑单元,主要有累加器和程序状态寄存器(PSW)组成 5. 控制器: 指令寄存器(保存当前正在执行的指令)、指令译码器(解析当前指令做什么)、程序计数(指向下一个要执行的程序,当当前指令执行完毕后则把下一条指令放到指令寄存器里面) 。。。 108. 数字签名和数字证书的区别 数字签名:用户A对正文进行摘要,用户A用自己的私钥进行加密,用户B用用户A的公钥进行解密。 但是数字签名还存在一个问题,用户C偷偷在用户B里面用自己的公钥换了用户A的公钥,然后用户C用自己的私钥进行数字签名冒充A给用户B发信息,这样用户B根本不知道用户C已经冒充A了。数字证书能解决这个问题。 数字证书: 用户A找一个公认中心对自己的公钥进行认证,即CA中心。公认中心用自己的私钥对用户A的公钥进行加密,即得到A的数字证书。 这个时候用户A给用户B发信息的时候,发送正文的同时,再发送A的数字签名,和数字证书。用户B接到信息后,用CA的公钥对A的数字证书进行解密验证,得到A的公钥,B再用得到的A的公钥对A的数字签名进行严重,从而判断信息的身份正确性。
数字证书详解
最新发布
无线网络系统研究
04-09 911
数字证书,X.509,CA,TLS
数字证书总结
qq_30053489的博客
07-07 1729
数字证书 就是通过数字签名实现的数字化的证书,在现实生活中公章可以被伪造,但在计算数字世界中,数字签名是没有办法被伪造的,在一个证书文件中写明了证书内容,颁发证书时,教育部门利用他们的私钥对文件的摘要信息进行签名,将签名和证书文件一起发布,这样就能确保该证书无法被伪造。验证证书是否合法时,首先用教育部门的公钥对签名进行解密得到一个摘要信息,使用教育部门同样的摘要算法得到证书的另一个摘要信息,对比两个摘要信息是否一致就能确定该证书是否合法。 在一般的证书组成中部分中,还加入了一些其他信息,比如证书的有效期
理解数字证书,守护你的大数据世界
陕西省数字认证中心
03-18 398
公钥用于加密信息,私钥用于解密信息。这种证书通常包含实体的公钥、实体信息、颁发机构信息、有效期等内容,并由一个受信任的第三方机构(即证书颁发机构,CA)签名。用户可以通过验证数字证书的签名来确认实体的身份,从而确保与实体之间的通信安全。同时,企业和个人也应该重视数字证书的应用,确保在大数据环境下的信息传输和存储安全。本文将从数字证书基本概念、工作原理及其在大数据时代的应用等方面,为大家科普数字证书的重要性。2. 电子商务:在电子商务领域,数字证书被用于验证交易双方的身份,确保交易的安全性和可靠性。
加密和数字证书
kessity的博客
09-23 3108
目录一 KPI概述二 KPI应用1 内容安全加密2 加密文件3 使用非对称加密对称加密密钥4 非对称加密的缺点5 数字签名6 数字证书7 时钟服务8 私钥使用者认证9 总结附:U盾的工作原理介绍三 详解公钥、私钥、数字证书的概念1 加密和认证2 公钥和私钥3 证书4 总结5 签名证书VS加密证书6 数字证书格式 - 摘要四 SM2国密算法证书解析1 数字证书的组成2 数字证书的对象标识符3 数字证书的解析五 证书1 der pem cer crt key pfx等概念及区别2 .NET中,X509证书2和X
计算机的安全标识符sid丢失,Win10电脑系统用户的安全标识符SID怎么查找的方法...
weixin_33971463的博客
07-21 1702
Win10电脑系统用户的安全标识符SID怎么查找的方法,SID或安全标识符是一种唯一代码,可帮助识别Win10操作系统中的任何用户或组和计算机帐户。它们是在创建用户帐户后立即创建的,并且是唯一标识符,在公共计算机上没有两个SID相同。它也被称为安全ID。此唯一标识在操作系统内部使用,而不是我们设置的显示名称,如Personal,Dad或其他任何内容。这也意味着,即使您更改了显示名称,也不会影响为该...
数字证书key android,android应用签名详细步骤
weixin_26968079的博客
05-28 419
1、准备工作apk的签名工作可以通过两种方式来完成:1)通过ADT提供的图形化界面完成apk签名;右键项目——》 Android Tools ——》Export Signed Application Package... ——》 打开图形界面2)完全通过shell/dos命令来完成apk签名我比较喜欢第2)种方式,所以下面将讲解如何通过命令的方式完成apk签名。给apk签名一共要用到3个工具,或者...
数字证书的理解心得
狼行天下
07-06 5414
私钥不可导出的证书都将在CSP密钥容器中存放私钥。密钥容器中的私钥是无法导出(包括编程)的。但尽管无法导出,却可以用它来签名。 每个CSP有一个密钥库,密钥库用于存储密钥。而每个密钥库包括一个或多个密钥容器(Key Containers)。每个密钥容器中含属于一个特定用户的所有密钥对。每个密钥容器被赋予一个唯一的名字 Certificate Version #版本号,
【笔记】密码学与安全技术概要总结(二)
01-20
文章目录四、数字证书1. X.509证书规范2.证书格式3.证书信任链五、PKI体系1.PKI基本组件2.证书的签发3.证书的撤销六、Merkle树结构1.快速比较大量数据2.快速定位修改3.零知识证明七、布隆过滤器1.基于Hash的快速查找...
java 面试题 总结
09-16
JAVA相关基础知识 1、面向对象的特征有哪些方面 1.抽象: 抽象就是忽略一个主题中与当前目标无关的那些方面,以便更充分地注意与当前目标有关的方面。抽象并不打算了解全部问题,而只是选择其中的一部分,暂时不用...
【笔记】密码学与安全技术概要总结(一)
01-07
  密码学和安全领域所涉及的知识体系十分繁杂,本文简述密码学领域中跟区块链相关的一些基础知识,包括Hash算法与数字摘要、加密算法、数字签名、数字证书、PKI体系、Merkle树、布隆过滤器、同态加密等。...
数字证书
他叫阿来
02-06 893
文章目录前言一、什么是数字证书二、数字证书申请和验证三、keytool构建自签名证书总结 前言 本文主要介绍什么是数字证书和如何使用keytool工具常用命令的使用。最后构建自签名证书。 一、什么是数字证书 数字证书(Digital Certificate )也称电子证书,用于识别网络中用户(计算机)身份,该凭据需要由数字证书颁发机构(Certificate Authority,CA)签发。只有经过CA签发的证书在网络中才具备可认证性。 VeriSign、GerTrust、Thawte是国际权威数字证书
常见的数字证书格式
血色残阳的专栏
04-16 1438
常见的数字证书格式1.cer后缀的证书文件有两种编码DER二进制编码或者BASE64编码(也就是.pem) 2.p7b一般是证书链,里面包括1到多个证书 3.pfx是指以pkcs#12格式存储的证书和相应私钥。
HTTPS 终于搞懂了 !
qq_42003636的博客
04-07 798
(为啥需要 CA 的公钥啊,因为证书上的签名,是 CA 的私钥加密的啊,只有 CA 的公钥才能解密啊)CA 机构哪来的小明的公钥呢?如果小花在获取小明的公钥的过程,出了问题,比如小花获取的不是小明的公钥,而且老王的公钥呢(此时小花还以为手里的公钥是小明的呢)比如,你有一对私钥和公钥,我只要拿到你的公钥,然后用你的公钥进行加密传输内容,只有你自己能解开,因为私钥只有你自己有。你可以用你的私钥对通知进行加密,其它人想看的话,通过下载你的公钥,进行解密,能解密出来,说明通知一定是你发的。
数字证书学习笔记汇总
IccBoY_超越
03-07 839
SSL证书数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。 SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Ne...
数字签名和数字证书详解
07-27
数字签名是一种用于验证和确保...总结来说,数字签名是一种通过加密和解密技术,用于验证数据完整性和身份认证的方法。而数字证书则是一种包含公钥、身份信息和数字签名的电子文档,用于证明公钥的真实性和拥有者身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值