国密SSL协议之双证书体系

最新推荐文章于 2022-11-03 11:20:07 发布
最新推荐文章于 2022-11-03 11:20:07 发布
阅读量9.7k 收藏 36
点赞数 7
分类专栏: 国密SSL 文章标签: ssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gmssl/article/details/108511470
版权

1 背景

国密SSL协议使用双证书体系。本文描述了国密双证书体系的组成和差别,并描述了在U盾里面的使用情况。

2 国密SSL双证书

国密SSL协议使用双证书体系,分别称为签名证书和加密证书,服务器和用户持有两对SM2独立的密钥对。其中加密证书和签名证书主要的区别就是密钥用法(KeyUsage)不一样(当然对应的密钥等也不一样),使用相同的DN。密钥用法具体是:

 

签名证书:Digital Signature, Non-Repudiation (c0)

 

加密证书:Key Encipherment, Data Encipherment, Key Agreement (38)

3 国密SSL加密证书的颁发流程

国密CA体系里面,加密密钥对是在CA端产生的,和通常的签名证书流程不一样(签名密钥对通常是用户自己产生的,发送证书请求给CA来申请证书)。

那用户怎么安全获得加密证书和私钥呢?国密规范规定,加密私钥需要通过数字信封使用用户的签名公钥加密。CA将加密私钥密文返回给用户,用户因为有对应的签名私钥,因此只有该用户才可以解开密文,获得加密私钥。过程如下:

1)用户使用U盾产生签名密钥对,生成签名证书请求,发送签名证书请求给CA;

2)CA审核生成签名证书,产生加密密钥对,生成加密证书;

3)CA生成对称密钥,使用用户签名公钥加密,输出对称密钥密文;

4)CA使用对称密钥,加密用户加密私钥,输出加密私钥密文;

5)CA返回给用户签名证书、加密证书、对称密钥密文和加密私钥密文;

6)用户导入对称密钥密文,使用U盾内部签名私钥解密,获得对称密钥句柄;

7)用户使用对称密钥句柄解密加密私钥,获得加密私钥明文。

用户使用SKF(U盾)接口时,6)和7)以及导入加密证书时,使用一个API一步完成的,所述过程是在U盾内部的处理。

4 国密U盾伴侣

目前大部分国密U盾的管理工具,并不支持国密证书请求产生和国密证书应答导入。www.GMSSL.cn提供一个《国密U盾辅助工具》,支持国密生成证书请求/导入证书应答操作。目前支持龙脉科技的mToken GM3000。

下载请参见https://www.gmssl.cn/gmssl/index.jsp?go=ukey

1)生成证书请求

 

2)提交签名证书请求给https://www.gmssl.cn/gmssl/index.jsp?go=ca

3)www.gmssl.cn生成签名证书/加密证书/加密私钥密文

4)导入证书应答

 

5 国密测试CA

www.GMSSL.cn提供一个国密测试CA。通过国密CA,配合国密U盾伴侣,可以给用户生成国密双证书,然后可以通过国密浏览器,就使用证书登录国密双向认证的网站了。

CA参见https://www.gmssl.cn/gmssl/index.jsp?go=ca

国密二三事
关注
  • 7
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
GMSSL证书demo.rar
06-24
博客《新手入坑GMSSL(二)GMSSL证书生成》中方法生成的证书demo,有对博文有疑问的可以下载尝试一下。 另外包含了360国密浏览器的ctl.dat文件,与证书相匹配,可以直接使用。
Android调用大宝CA国密SSL密码套件(0.99版本)访问HTTPS(国密SSL安全通道)的示例代码
02-26
使用方法见:... 1. Android使用HTTPCLIENT访问国密SSL协议的HTTPS服务 2. 示例代码为单向认证,可支持向认证 3. 获取服务端的国密数字证书 4. 适用于Android 7.0(API 24)及以上
数字证书:签名证书&加密证书
weixin_44535758的博客
05-25 8698
数字证书:签名证书&加密证书首先介绍一下基础技术铺垫这里可以复习一下数字签名和数字证书的知识进入正题:什么是加密证书和签名证书?下面是引用其它文章对国内证书的介绍 首先介绍一下基础技术铺垫 数字证书是基于认证机构(可信第三方)实现的,若不懂请复习PKI相关知识,我国为了加强对数据机密性的管控,采用证书体系(签名证书&加密证书),签名密钥对由用户自己产生,而加密密钥对则是由KMC(密钥管理中心)生成。 —————————————————————————————————————————— 这
签发证书流程
Guozr7的博客
11-03 255
ca签发证书流程
证书体系
好习惯成就伟大
10-26 3485
公钥密码的密钥既可以用于加密应用,又可以用于签名应用。然而,一方面,监管和用户自身的密钥恢复需求要求私钥在用户之外得到备份;另一方面,数字签名应用的私钥不能在用户之外再有备份。作为同时满足加密和签名两方面看似矛盾的需求解决方案,能够区分签名证书和加密证书的“证书体系”得以引入。目前我国PKI系统采用的就是证书体系。 在我国证书体系中,用户同时具有两个私钥,分别称为签名私钥和加密私钥。签名私钥由用户在本地生成并专有掌握,对应的证书被称为“签名证书”;加密私钥用于解密和密钥交换,由专门的可信机构(如密钥管
国密gmtls协议-证书体系的服务端和客户端通信代码
CHYabc123456hh的博客
08-21 6097
国密gmtls协议-证书体系的服务端和客户端通信代码
国密技术规范中的“证书”,你知道多少?
好习惯成就伟大
10-22 7764
​​相信了解国密应用的朋友都听说过证书。那么这个证书到底是怎么回事呢?但我们今天说的证书是指国家商用密码体系中的证书(加密证书+签名证书),而不是站点部署自适应的证书(SM2算法证书+RSA算法证书),先跟童鞋们讲清楚,以免混淆。好的,今天我们就详细来聊一聊。 什么是证书? 首先我们来明确一下证书到底指的是什么,先来看国家密码管理局颁布的《GMT0024-2014 SSL VPN 技术规范》(以下称“技术规范”)中有关于证书的描述。在5.2.2章节里就说明了服务端证书的性质和作
国密秘钥体系
03-09 1419
国密秘钥体系的“”体现在,申请人是有两个证书的,一个是用于认证的证书,一个是用于加密的证书。 1、用于认证的证书的生成:用户自行生成一对公私钥,其中自己保留私钥用于签名,公钥发送给CA机构,请CA来对其签名,生成该用户的签名证书。 2、用于加密的证书的生成:该证书CA机构从其自身KMC中为用户获取一对公私钥,同时,自己备份这对公私钥。然后,CA将公钥进行签名生成加密证书CA使用该用户的签名证书将加密私钥、加密证书等进行加密后,返回给用户。 注意:1、CA有用户用于加解密的公私钥对,因此CA是可
JAVA NIO MINA2调用大宝CA密码安全套件实现国密SSL安全通道,1.0.1版本,含通信示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/96491058 1. 修改了前一版本中证书验证的bug,支持JDK8的高版本 2. 支持国密SSL向认证 3. 将过期的国密证书替换为新证书
Android调用大宝CA国密SSL密码套件(0.99版本)访问国密SSL安全服务的示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/89048916 1. 支持国密SSL单向认证和向认证 2. 获取服务端的国密数字证书 3. 适用于Android 7.0(API 24)及以上
Java实现SSL向认证的方法
09-01
SSL(Secure Socket Layer)是网络安全协议,它的主要功能包括数据加密、服务器验证和客户端验证。在SSL向认证中,服务器和客户端都需要拥有各自的数字证书,这些证书由可信任的证书颁发机构(CA)签署,以证明它们...
支持国密SSL通信协议的TOMCAT7.0.96,大宝CA版本,0.99版本,2019.09.17
09-17
使用方法见:https://blog.csdn.net/upset_ming/article/details/87875482 1. 修改了以前版本中的一些BUG 2. 可以适配360、密信、海泰等国密浏览器 3. 支持国密SSL向认证
PKI体系证书数字信封图文描述支持国密算法
alongshow的专栏
03-05 1251
国家为什么要使用证书体系
weixin_45575405的博客
07-25 1099
签名时用户A(简称A)使用自己的私钥加密信息的摘要,即签名操作;B)使用A的公钥进行解密,对比该摘要是否正确,若正确,则B就确定了A的身份,即。加密时加密证书在传递加密数据时使用,其私钥和公钥由CA产生,并由CA保管(存。加密时A用B的公钥将信息加密传递给B,B使用自己的私钥解密,进而获得信息。签名时签名证书仅仅用来验证身份使用,其公钥和私钥均由A自己产生,并且由自己。证书如果签名私钥遗失,用户再产生一对即可,影响不大,因此签名密钥没。4.用户使用自己的签名私钥解密,获得证书及加密密钥。...
啥?证书
云水木石
03-21 4185
国密标准对于SSL通信定义得不是很清楚,所能依仗的标准只有《GMT 0024-2014 SSL VPN 技术规范》。在文档中提到,国密TLS需要有签名证...
部署国密SSL证书,建立HTTPS加密 “备胎”计划
chenhongbo631102的博客
07-22 864
随着中美贸易摩擦的出现,前有针对中兴的“七年封禁”,后有针对华为的“断供”制裁,我国众多行业领域都需要思考一个问题:如果本行业的核心技术或产品对美依赖性过强,一旦出现类似的“断供”事件,该如何应对?在数字证书领域也存在禁售先例,比如美国一直对部分启动制裁的国家禁售SSL证书。 HTTPS加...
ca证书原理以及加密原理
好习惯成就伟大
11-06 4010
转自:数字证书原理 - 无恙 - 博客园 尊重原创 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 1.1、公钥密码体制(public-key cr...
CA策略发布目录SPC
yhl4k的博客
03-31 4752
CA策略发布目录(CPS) 什么是PKI 公钥基础设施(PKI)是基于公钥理论和技术建立的网络信息安全技术体系,是一种遵循标准的、为用户提供公钥证书管理、密钥管理、网络信息安全应用或安全管理的基础设施。它为网络内实体的认证、证书管理、数字签名、数据加密和网络信息的机密性、真实性、完整性、不可否认性与存取控制等安全需求提供了具有普适性的基础技术。它属于国家信息安全标准之一。PKI架构包括网络基础设施、安全支撑平台、应用支撑平台、安全业务应用和系统安全管理等。由于该系统是用公钥密码体制和技术来提供和实施安全
libcurl 国密ssl 向认证
最新发布
06-04
如果你想在 libcurl 中使用 gmSSL 进行向认证,可以按照以下步骤进行操作: 1. 生成服务器证书和私钥。可以使用 OpenSSL 工具生成证书和私钥。例如: ``` openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 2. 生成客户端证书和私钥。可以使用 OpenSSL 工具生成证书和私钥。例如: ``` openssl req -newkey rsa:2048 -nodes -keyout client.key -out client.csr openssl x509 -req -days 365 -in client.csr -signkey client.key -out client.crt ``` 3. 将服务器证书和私钥放到服务器端,将客户端证书和私钥放到客户端。 4. 在服务器端,启动一个 HTTPS 服务器,并加载服务器证书和私钥。可以使用 OpenSSL 或其他 HTTP 服务器软件来实现。在这里,我们假设你已经启动了一个名为 `example.com` 的 HTTPS 服务器,并将服务器证书和私钥保存在 `server.crt` 和 `server.key` 文件中。 5. 在客户端,使用 libcurl 发起 HTTPS 请求,并加载客户端证书和私钥。可以使用以下代码来实现: ``` #include <curl/curl.h> #include <openssl/gmssl.h> int main() { CURL *curl; CURLcode res; curl_global_init(CURL_GLOBAL_DEFAULT); curl = curl_easy_init(); if (curl) { curl_easy_setopt(curl, CURLOPT_URL, "https://example.com"); curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2); curl_easy_setopt(curl, CURLOPT_SSL_CIPHER_LIST, "ECDHE-ECDSA-AES128-GCM-SHA256"); curl_easy_setopt(curl, CURLOPT_CAINFO, "ca-bundle.crt"); curl_easy_setopt(curl, CURLOPT_SSLCERT, "client.crt"); curl_easy_setopt(curl, CURLOPT_SSLKEY, "client.key"); res = curl_easy_perform(curl); curl_easy_cleanup(curl); } curl_global_cleanup(); return 0; } ``` 在上面的示例代码中,我们使用了 `CURLOPT_SSLCERT` 和 `CURLOPT_SSLKEY` 选项来加载客户端证书和私钥。需要注意的是,客户端证书需要是 PEM 格式,并且需要包含完整的证书链。 同时,我们还设置了 `CURLOPT_CAINFO` 选项来加载根证书。如果根证书不在系统的默认位置,需要将其保存为 PEM 格式,并指定其路径。 需要注意的是,向认证需要在服务器端和客户端都进行配置,才能实现向认证的效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值