基于浏览器的密钥生成以及与浏览器的密钥/证书存储的交互

最新推荐文章于 2022-11-09 14:23:01 发布
最新推荐文章于 2022-11-09 14:23:01 发布
阅读量1.2k 收藏 2
点赞数
文章标签: java python https spring js ViewUI
本文介绍了如何利用HTML5的KeyGen标签在浏览器中生成密钥对,使得用户无需手动处理加密细节。通过KeyGen,用户的公共密钥和服务器质询签名会被发送到服务器,服务器则回应X.509证书,该证书与私钥关联并存储在浏览器的证书存储区。在Java中,创建证书的过程涉及服务器端的Servlet处理表单提交,以确保通信安全。BouncyCastle库可用于处理ASN.1和DER编码。
摘要由CSDN通过智能技术生成

想象以下情况:
您需要从访问您的网站的用户那里获取一个密钥(在非对称情况下为用户的公共密钥 ),并希望浏览器记住私有部分,而不会因冗长的导入过程而困扰用户。 老实说,实际上,您甚至不希望用户处理加密详细信息,这些详细信息是许多用户无法知道或不正确知道的。 它应该简单地工作,并且在最佳情况下,用户甚至都不应该注意到加密正在发挥作用! 想象一下,例如,一个企业范围的证书颁发机构 ,员工可以在其中申请证书或续订登录到公司Webmail系统所需的证书。 这不是员工主要任务的一部分,因此该过程必须简单,快速并且无需阅读任何内容。 非常感谢(或本例中为Netscape )HTML,因为HTML 5甚至是独立于浏览器的,也是官方标准的一部分,带有专用于密钥生成的标签: <KeyGen />。 简而言之,标记可以强制用户的浏览器创建非对称密钥对,对相应的公共密钥和服务器提供的质询进行签名,最后将其发送回服务器(更确切地说,发送至表单操作中定义的位置)属性)。 私钥会自动加密并存储在浏览器的密钥存储区中。 用于公共密钥,质询和签名封装的格式称为SPKAC 。 如果服务器以X.509证书作为响应,则证书直接链接到私钥并存储在浏览器的证书存储区中。 结果,浏览器现在拥有服务器提供的(可能是新创建的)证书和相应的私钥。 所有这些只需单击一次提交按钮即可。 (是的,也许用户还应该在表单字段中添加一些详细信息……)这是在Java中的操作方法。 为了简单起见,我们将通过直接注册为Servlet在服务器端使用快速且肮脏的解决方案。

首先,我们将从初始网站开始,该网站提供一个表格,其中必须输入证书申请者的一些详细信息。 请注意,这些表单域不是由签名与新生成私钥保护! 此签名仅保护公共密钥,而在这种情况下(为简单起见)它是硬编码的,但是必须是服务器在现实世界中选择的新值,才能保护挑战。 因此,必须保护两者:网站的交付(包括表单)(它包含安全性关键值,挑战,表单操作……必须受到完整性保护)以及将数据传输回服务器。 再一次, 如果您无法保护通信并至少确保安全目标的完整性,那么攻击者可能会破坏您的整个安全概念! 

<form action="CreateCertificate" method="POST">
<table>
       <tbody>
                <tr>
                    <td>Country name</td>
                    <td>C</td>
                    <td><input name="c" type="text" value="" /></td>
                </tr>
                <tr>
                    <td>Common name</td>
                    <td>CN</td>
                    <td><input name="cn" type="text" value="" /></td>
                </tr>
                <tr>
                    <td>Organizational unit</td>
                    <td>OU</td> 
                    <td><input name="ou" type="text" value="" /></td>
                </tr>
                <tr>
                    <td>Organization</td>
                    <td>O</td>
                    <td><input name="o" type="text" value="" /></td>
                </tr>
                <tr>
                    <td></td>
                    <td><keygen challenge="replaceMe" keyparams="2048" keytype="rsa" 
                      name="newSPKAC"></keygen></td>
                    <td><input type="submit" value="Generate!" /></td>
                </tr>
       </tbody>
</table>
</form>

在服务器端,必须为表单操作目标注册一个处理类。 这是在您的web.xml配置文件中完成的。 

<web-app version="3.0" xmlns:xsi="..." xmlns="..." xsi:schemalocation="...">
    <servlet>
        <servlet-name>CreateCertificate</servlet-name>
        <servlet-class>
            com.blogspot.armoredbarista.examples.certificates.CreateCertificate
        </servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>CreateCertificate</servlet-name>
        <url-pattern>/CreateCertificate</url-pattern>
    </servlet-mapping>
    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>
</web-app>

这将导致对路径/ CreateCertificate的任何调用均由CreateCertificate类处理。 反过来,CreateCertificate类执行名称中所期望的操作:它创建一个证书,其中包括收到的公共密钥和请求者的详细信息。 公钥和质询包含在SPKAC结构中,该结构由KeyGen标签创建(在这种情况下,此名称由名称newSPKAC标识)。 

public class CreateCertificate extends HttpServlet {
    /**
     * Processes requests for both HTTP GET and POST methods.
     *
     * @param request servlet request
     * @param response servlet response
     * @throws ServletException if a servlet-specific error occurs
     * @throws IOException if an I/O error occurs
     */
    protected void processRequest(final HttpServletRequest request,
            final HttpServletResponse response)
            throws ServletException, IOException {

        OutputStream out = response.getOutputStream();
        byte[] content = "An error occured".getBytes("UTF-8");
        try {
            String c = request.getParameter("c");
            String cn = request.getParameter("cn");
            String o = request.getParameter("o");
            String ou = request.getParameter("ou");
            String newSPKAC = request.getParameter("newSPKAC");

            X509Certificate cert = createCertificate(c, cn, ou, o, newSPKAC);
            content = cert.getEncoded();

            response.setContentType("application/x-x509-user-cert");
            response.setHeader("Pragma", "No-Cache");
            response.setDateHeader("EXPIRES", -1);
        } catch (...) {
          // error processing
        } finally {
            out.write(content);
            out.flush();
            out.close();
        }
    }

    /**
     * Handles the HTTP
     * GET method.
     *
     * @param request servlet request
     * @param response servlet response
     * @throws ServletException if a servlet-specific error occurs
     * @throws IOException if an I/O error occurs
     */
    @Override
    protected void doGet(final HttpServletRequest request,
            final HttpServletResponse response)
            throws ServletException, IOException {
        processRequest(request, response);
    }

    /**
     * Handles the HTTP
     * POST method.
     *
     * @param request servlet request
     * @param response servlet response
     * @throws ServletException if a servlet-specific error occurs
     * @throws IOException if an I/O error occurs
     */
    @Override
    protected void doPost(final HttpServletRequest request,
            final HttpServletResponse response)
            throws ServletException, IOException {
        processRequest(request, response);
    }
}

在这种情况下,用于响应的ContentType是application / x-x509-user-cert。

就这样。 用户输入详细信息并单击按钮后,他应该在浏览器的证书存储中找到新证书:

关于SPKAC 轻巧拆卸的最后一句话: BouncyCastle可以帮助您与ASN.1DER野兽战斗!


翻译自: https://www.javacodegeeks.com/2013/06/browser-based-key-generation-and-interaction-with-the-browsers-keycertificate-store.html

dnc8371
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win10系统导出证书私钥及公钥
渡安H的博客
02-19 1万+
一、打开Internet选项,如图示 打开方式一:通过控制面板打开 打开方式二:通过IE浏览器打开 打开方式三:通过360浏览器打开 二、在Internet选项中选择“内容”页签,点击“证书”, 然后在“个人”页签中,选中要导出的证书,点击“导出” 三、点击导出后,会弹出“证书导出向导”页面,点击“下一步”,开始导出证书 四、选择“是,导出私钥”,点击“下一步”,导出私钥 4.1 如下如所示,勾选“个人信息交换”,点击“下一步” 4.2 如下如所示,勾选...
渗透技巧——导出Chrome浏览器中保的密码
weixin_30707875的博客
01-27 993
0x00 前言 在后渗透阶段,获得权限后需要搜集目标系统的信息。信息越全面,越有助于进一步的渗透。对于Windows系统,用户浏览器往往包含有价值的信息。 在之前的文章《本地密码查看工具LaZagne中的自定义脚本开发》曾介绍过利用LaZagne导出多个浏览器密码的方法。 本文将要针对Chrome浏览器,介绍具体的导出原理和利用方法,解决一个实际问题: 如何导出另一系统下Chrome浏览器中...
ubuntu生成密钥证书_基于浏览器密钥生成以及与浏览器密钥/证书存储交互...
最佳 Java 编程
06-08 405
ubuntu生成密钥证书 想象以下情况: 您需要从访问您的网站的用户那里获取一个密钥(在非对称情况下为用户的公共密钥 ),并希望浏览器记住私有部分,而不会因冗长的导入过程而困扰用户。 老实说,实际上,您甚至不希望用户处理加密细节,这些细节是许多用户无法知道或不正确知道的。 它应该简单地工作,并且在最佳情况下,用户甚至不应该注意到加密正在发挥作用! 例如,想象一下整个企业范围内的证书颁发机...
chromium windows编译32位正式版以及私钥,默认浏览器,按钮去除等功能
Z-VegetableBird的博客
11-09 777
chromium windows编译32位正式版以及私钥,默认浏览器,按钮去除等功能
HTTPS的工作原理
小小学渣的博客
10-08 1878
在正式开始讲解https之前我们还得先搞清楚两个概念:什么是对称加密,以及什么是非对称加密? 对称加密的介绍 对称加密比较简单,就是客户端和服务器共用同一个密钥,该密钥可以用于加密一段内容,同时也可以用于解密这段内容。 对称加密的优点 加解密效率高,但是在安全性方面可能在一些问题,因为密钥放在客户端有被窃取的风险。 对称加密的代表算法有:AES、DES等。 非对称加密的介绍 对称加密则要复杂一点,它将密钥分成了两种:公钥和私钥。公钥通常放在客户端,私钥通常放在服务器。使用公钥加密的数据只有用私钥
ssh-keygen-web:在Web浏览器生成ssh-keygen的密钥
02-11
本文将深入探讨`ssh-keygen`的原理、使用方法以及`ssh-keygen-web`项目,它允许用户在Web浏览器生成SSH密钥对。 首先,让我们了解SSH密钥对的工作原理。SSH基于非对称加密技术,其中包含两个密钥:公钥和私钥。...
简单的 Android 浏览器源码,基于 Android Studio.zip
05-22
这款名为"简单的 Android 浏览器源码,基于 Android Studio.zip"的压缩包提供了一个基础的安卓浏览器应用源代码,适合初学者或者希望快速理解Android浏览器实现的开发者。该源码仅包含大约400行代码,注释详尽,便于...
详解Python的Flask框架中生成SECRET_KEY密钥的方法
09-21
当用户通过浏览器与Flask应用交互时,Flask会利用`SECRET_KEY`对用户的会话信息进行加密处理。这包括但不限于用户的登录状态、表单提交数据等敏感信息。如果没有设置或设置了不安全的`SECRET_KEY`,攻击者可能会伪造...
SSL证书在线生成系统源码
最新发布
09-20
SSL证书在线生成系统源码是实现网站安全的重要工具,它基于公钥基础设施(PKI)原理,用于在互联网上建立安全的数据传输通道。本系统允许用户通过在线方式申请并生成SSL证书,简化了传统SSL证书获取流程,提升了用户...
易语言客户端源码,易语言服务端源码,易语言密钥通信
07-19
获取密钥可能涉及到密钥生成存储和分配,而测试发送则意味着在实际部署前,已经进行了发送和接收数据的模拟测试,以确保通信的正确性。 在“易语言密钥通信源码”的压缩包中,可能包含以下内容: 1. 客户端源...
浏览器插件的打包和解压
我与岁月的森林的博客
10-24 3841
以Chrome浏览器和某浏览器为例图解浏览器插件的打包和解压
使用cookie实现记住密码并且有过期时间功能和localStorage实现记住密码
qq_37734787的博客
02-14 888
记住密码和账号的功能和后台无关,是由前端进行操作的。一般像这种操作会用到本地绘画存储技术(localStorage,sessionStorage,cookie,它们在存储的时间,存储大小…都有各自的区别,不太了解的话可以百度查询一下相关文档)。常理而言记住密码一般都需要过期时间,所以根据这一特性可以利用cookie进行实现是个功能,(cookie可以设置过期时间) <div class="count"> <div class="user">
2019前端中高级面试精华100题【一/js篇】(有答案)
李古拉雷
09-23 1万+
以下问题大部分偏初中级,答案也都是简明扼要,可以在面试时应付一下,免得无点可说在第一面就被PASS。如果这些问题能让你快速回忆起平时所学,串联起前后的技能点,在面试时有个好的发挥,也就不费我整理这些面试题的用心。最后,这些答案仅供参考,不要死记硬背。愿你们都能找到满意的工作。 我是李古拉雷,曾全栈开发工程师,前今日头条前端架构师,今创业公司CEO。关注我的公众号可以获得更多前端技术和职场经验。我...
测试浏览器与OpenSSL的双向认证
冰冻三尺非一日之寒
07-31 4764
测试浏览器与OpenSSL的双向认证     一、背景        在安全级别要求高的项目中,我们可能采取双向SSL认证的方案来保证数据在通信的过程中的安全。       二、原理        双向SSL认证需要客户端和服务器端都需要证书,并且证书都是同一个CA颁发的。认证的过程会互相认证,从而确定对方的身份是否合法。双向认证生成密钥被用来加密数据,保证客户端与服务器端的通信数据私
CA证书下载以及导出公私钥教程
weixin_33943347的博客
11-29 2324
1 证书下载流程 1、登入CFCA中国金融认证中心官网网址:http://www.cfca.com.cn/,点击“证书自助”-“相关下载”, 2、在生产证书下载选项中点击 à “证书下载”-“生产系统证书下载”-“新证书下载平台(生产证书)”; 3、首次下载证书,请按照页面提示安装相应程序,以保证证书顺利下载;【如果安装控件有任何问题,请联系cfca官网的客服咨询。】...
HTTPS加密原理
破晓的成长之路
06-14 493
对称加密 1.第一次传输对称密钥为明文传输,不安全。 2.密钥存储问题。 对称密钥的问题主要在于:在第一次传输密钥时,这个密钥怎么让传输的双方知晓,同时不被别人知道。 如果由服务器生成一个密钥并传输给浏览器,那这个传输过程中密钥被别人劫持弄到手了怎么办?之后他就能用密钥解开双方传输的任何内容了,所以这么做当然不行。 非对称加密 有两把密钥,通常一把叫做公钥、一把叫做私钥,用公钥加密的内容必须用私钥才能解开,同样,私钥加密的内容只有公钥能解开。 服务器先把公钥直接明文传输给浏...
浏览器中导出https证书
热门推荐
caofengtao1314的专栏
08-13 1万+
第一种方法 开始运行中输入certmgr.msc,选择证书右击导出即可。 第二步找到目录 第三步 导出 第四步 第五步 保就ok了。 第二种方法 以百度为例 剩下的和第一种方法相同  ...
PKCS#12v1.0详解:个人信息交换与安全存储
- **AUTHENTICATED SAFE**:这是PKCS #12中的一个重要概念,指的是经过认证并加密的数据容器,用于存储各种类型的密钥证书。 4. **PFX PDF语法**:PFX(Personal Information Exchange)是一种文件格式,由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值