国密SSL协议之双证书体系

最新推荐文章于 2024-07-29 09:00:00 发布
最新推荐文章于 2024-07-29 09:00:00 发布
阅读量1w 收藏 38
点赞数 7
分类专栏: 国密SSL 文章标签: ssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gmssl/article/details/108511470
版权

1 背景

国密SSL协议使用双证书体系。本文描述了国密双证书体系的组成和差别,并描述了在U盾里面的使用情况。

2 国密SSL双证书

国密SSL协议使用双证书体系,分别称为签名证书和加密证书,服务器和用户持有两对SM2独立的密钥对。其中加密证书和签名证书主要的区别就是密钥用法(KeyUsage)不一样(当然对应的密钥等也不一样),使用相同的DN。密钥用法具体是:

 

签名证书:Digital Signature, Non-Repudiation (c0)

 

加密证书:Key Encipherment, Data Encipherment, Key Agreement (38)

3 国密SSL加密证书的颁发流程

国密CA体系里面,加密密钥对是在CA端产生的,和通常的签名证书流程不一样(签名密钥对通常是用户自己产生的,发送证书请求给CA来申请证书)。

那用户怎么安全获得加密证书和私钥呢?国密规范规定,加密私钥需要通过数字信封使用用户的签名公钥加密。CA将加密私钥密文返回给用户,用户因为有对应的签名私钥,因此只有该用户才可以解开密文,获得加密私钥。过程如下:

1)用户使用U盾产生签名密钥对,生成签名证书请求,发送签名证书请求给CA;

2)CA审核生成签名证书,产生加密密钥对,生成加密证书;

3)CA生成对称密钥,使用用户签名公钥加密,输出对称密钥密文;

4)CA使用对称密钥,加密用户加密私钥,输出加密私钥密文;

5)CA返回给用户签名证书、加密证书、对称密钥密文和加密私钥密文;

6)用户导入对称密钥密文,使用U盾内部签名私钥解密,获得对称密钥句柄;

7)用户使用对称密钥句柄解密加密私钥,获得加密私钥明文。

用户使用SKF(U盾)接口时,6)和7)以及导入加密证书时,使用一个API一步完成的,所述过程是在U盾内部的处理。

4 国密U盾伴侣

目前大部分国密U盾的管理工具,并不支持国密证书请求产生和国密证书应答导入。www.GMSSL.cn提供一个《国密U盾辅助工具》,支持国密生成证书请求/导入证书应答操作。目前支持龙脉科技的mToken GM3000。

下载请参见https://www.gmssl.cn/gmssl/index.jsp?go=ukey

1)生成证书请求

 

2)提交签名证书请求给https://www.gmssl.cn/gmssl/index.jsp?go=ca

3)www.gmssl.cn生成签名证书/加密证书/加密私钥密文

4)导入证书应答

 

5 国密测试CA

www.GMSSL.cn提供一个国密测试CA。通过国密CA,配合国密U盾伴侣,可以给用户生成国密双证书,然后可以通过国密浏览器,就使用证书登录国密双向认证的网站了。

CA参见https://www.gmssl.cn/gmssl/index.jsp?go=ca

国密二三事
关注
专栏目录
国密技术规范中的“证书”,你知道多少?
好习惯成就伟大
10-22 8519
​​相信了解国密应用的朋友都听说过证书。那么这个证书到底是怎么回事呢?但我们今天说的证书是指国家商用密码体系中的证书(加密证书+签名证书),而不是站点部署自适应的证书(SM2算法证书+RSA算法证书),先跟童鞋们讲清楚,以免混淆。好的,今天我们就详细来聊一聊。 什么是证书? 首先我们来明确一下证书到底指的是什么,先来看国家密码管理局颁布的《GMT0024-2014 SSL VPN 技术规范》(以下称“技术规范”)中有关于证书的描述。在5.2.2章节里就说明了服务端证书的性质和作
密改各层面方案汇总
wzw_wwl的博客
03-13 1389
数据库加密机使用不同密钥加密数据库不同的敏感数据,采用密钥管理与数据存储分离的核心理念,通过集中安全的密钥管理保护加密密钥整个生命周期的安全。PKI 是 Public Key Infrastructure 的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。
Java实现国密向认证二
最新发布
weixin_41850878的博客
07-29 233
确保Bouncy Castle库被添加到项目中。你可以通过Maven或Gradle添加依赖,或者手动下载JAR文件并添加到项目中。:在实际应用中,你可能需要添加更详细的异常处理逻辑,以便更好地处理可能出现的错误情况。:确保证书文件位于正确的路径下。在上面的代码中,证书文件应该放在项目的类路径下的。:确保你使用正确的密码来加载证书文件。在示例中,我们使用了。作为默认密码,你应该替换为你实际使用的密码。
GMSSL证书demo.rar
06-24
博客《新手入坑GMSSL(二)GMSSL证书生成》中方法生成的证书demo,有对博文有疑问的可以下载尝试一下。 另外包含了360国密浏览器的ctl.dat文件,与证书相匹配,可以直接使用。
证书体系
好习惯成就伟大
10-26 3533
公钥密码的密钥既可以用于加密应用,又可以用于签名应用。然而,一方面,监管和用户自身的密钥恢复需求要求私钥在用户之外得到备份;另一方面,数字签名应用的私钥不能在用户之外再有备份。作为同时满足加密和签名两方面看似矛盾的需求解决方案,能够区分签名证书和加密证书的“证书体系”得以引入。目前我国PKI系统采用的就是证书体系。 在我国证书体系中,用户同时具有两个私钥,分别称为签名私钥和加密私钥。签名私钥由用户在本地生成并专有掌握,对应的证书被称为“签名证书”;加密私钥用于解密和密钥交换,由专门的可信机构(如密钥管
国密gmtls协议-证书体系的服务端和客户端通信代码
CHYabc123456hh的博客
08-21 6548
国密gmtls协议-证书体系的服务端和客户端通信代码
签发证书流程
Guozr7的博客
11-03 279
ca签发证书流程
国密秘钥体系
03-09 1470
国密秘钥体系的“”体现在,申请人是有两个证书的,一个是用于认证的证书,一个是用于加密的证书。 1、用于认证的证书的生成:用户自行生成一对公私钥,其中自己保留私钥用于签名,公钥发送给CA机构,请CA来对其签名,生成该用户的签名证书。 2、用于加密的证书的生成:该证书CA机构从其自身KMC中为用户获取一对公私钥,同时,自己备份这对公私钥。然后,CA将公钥进行签名生成加密证书CA使用该用户的签名证书将加密私钥、加密证书等进行加密后,返回给用户。 注意:1、CA有用户用于加解密的公私钥对,因此CA是可
nginx服务器配置ssl协议,国密SSL协议之Nginx集成
weixin_31163455的博客
08-11 2156
1 背景Nginx自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。 特点:Nginx 无需改动源码、支持任意版本。2 环境服务器OS是CentOS7.7的64位版本,IP位192.168.0.98,客户端OS是WindowsXP。Nginx是Nginx-1.18.0。浏览器是360安全浏览器(支持国密)。3 安装方...
java ssl协议_国密SSL协议之Java编程
weixin_39578899的博客
02-13 1420
背景Java自身通过JCE和JSSE支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Java使用国密JCE和国密JSSE开发一个简单的客户端程序,连接国密Web网站,发送HTTP请求,并接收HTTP应答。环境JRE是jre8。国密JCE和国密JSSE。下载参https://www.gmssl.cn/gmssl/index.jsp?go=gmsdkgmjce.jar和gmjsse.jar放...
Android调用大宝CA国密SSL密码套件(0.99版本)访问HTTPS(国密SSL安全通道)的示例代码
02-26
使用方法见:... 1. Android使用HTTPCLIENT访问国密SSL协议的HTTPS服务 2. 示例代码为单向认证,可支持向认证 3. 获取服务端的国密数字证书 4. 适用于Android 7.0(API 24)及以上
使用国密算法数字证书的验证签名
01-22
给定两个数字证书,其中一个数字证书给另一个数字证书签名,签名算法为国密算法。文档中给出了证书解析的结果及所有有关的数据,详细说明了签名的过程,感兴趣的可以关注一下,值得一看。数据详细,不需要其它的任何数据。
JAVA NIO MINA2调用大宝CA密码安全套件实现国密SSL安全通道,1.0.1版本,含通信示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/96491058 1. 修改了前一版本中证书验证的bug,支持JDK8的高版本 2. 支持国密SSL向认证 3. 将过期的国密证书替换为新证书
Tongsuo(铜锁)项目介绍 - 实现国密SSL协议
new9232的博客
06-22 531
本文章主要介绍了铜锁项目的编译,以及使用铜锁项目实现国密SSL通信、搭建支持国密SSL协议的Nginx服务器、支持国密SSL协议的libcurl的使用。
PKI体系证书数字信封图文描述支持国密算法
alongshow的专栏
03-05 1297
gmssl国密证书制作
viqjeee的博客
03-24 4753
gmssl国密证书制作前言gmssl制作国密证书1 配置前提环境:2 生成根密钥和证书3 生成用户密钥,并使用根证密钥签发用户证书4 签名证书和加密证书5 生成pfx格式证书6 查看证书 前言 国密证书,包括签名证书和加密证书,可以通过gmssl方式生成,也可以通过tassl的方式生成。 gmssl制作国密证书 gmssl 生成证书过程中会调用/usr/local/gmssl/openssl.cnf 这个配置文件,需要修改证书的信息的,可以修改该配置文件。 1 配置前提环境: mkdir de
签名证书VS加密证书
前行
09-13 4325
证书的用途来看,数字证书可以分为: 签名证书:主要用于对用户信息进行签名,以保证信息的不可否认性。 加密证书:主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。   什么是加密证书和签名证书?            数字证书可分为签名证书和加密证书。     签名证书主要用于对用户信息进行签名,以保证信息的有效性和不可否认性;     加密证书主要用于对用户传送信息进行加密,以...
国家为什么要使用证书体系
weixin_45575405的博客
07-25 1204
签名时用户A(简称A)使用自己的私钥加密信息的摘要,即签名操作;B)使用A的公钥进行解密,对比该摘要是否正确,若正确,则B就确定了A的身份,即。加密时加密证书在传递加密数据时使用,其私钥和公钥由CA产生,并由CA保管(存。加密时A用B的公钥将信息加密传递给B,B使用自己的私钥解密,进而获得信息。签名时签名证书仅仅用来验证身份使用,其公钥和私钥均由A自己产生,并且由自己。证书如果签名私钥遗失,用户再产生一对即可,影响不大,因此签名密钥没。4.用户使用自己的签名私钥解密,获得证书及加密密钥。...
新手入坑GMSSL(三)GMSSL证书与360国密浏览器通讯
qq_40153886的博客
06-24 8014
首先申明,我不是密码学的专业人员,没有这方面知识基础,这个以及接下来的博客都是我根据网上能找到的资料、博客,一点点摸索总结出来的,问了很多前辈和博主,但是可能都没有看到都没有回复我 = = 。但项目必须得做身不由己,无奈只能自己试一试了。 如果有哪里不对的地方,请各位一定指出,也让我学习一下,感谢! 博客参考的资料地址会将参考的内容会在文中给出,我总结的步骤有不清楚的地方可以参考原文。 相信看到这篇博客的同学对于openssl的认识应该都比我要深,我就不班门弄斧了。可能国密这个领域对于其他技术来说.
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值