使用openssl制作证书和进行CMS格式数字签名

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量3.2k 收藏 3
点赞数 1
分类专栏: 安全和签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17585545/article/details/114859305
版权

openssl中有如下后缀名的文件
.key格式:私有的密钥
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crt格式:证书文件,certificate的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
 
OpenSSL实现了PKCS7,为什么还要实现CMS?
PKCS7和CMS看起来一样,CMS基于PKCS7,还基于一个Privacy-Enhanced Mail的标准, 因此CMS也可解析PKCS7签名
区别是:PKCS#7不支持递归嵌套, CMS支持,CMS还有增加了其它一些东西

1.数字签名
非对称加密算法的效率是非常低的。
将内容使用hash函数生成摘要,再用私钥对摘要进行加密,生成数字签名。然后将内容附上数字签名一同传输。
收件方收到后,用公钥对数字签名进行解密,得到摘要,然后再对原内容进行hash生成摘要,比对这两个摘要是否相同,相同则说明内容没有被篡改。

2.数字证书
由CA颁发给网站的身份证书,里面包含了该网站的公钥,有效时间,网站的地址,CA的数字签名等。
所谓的CA数字签名,实际上就是使用了CA的私钥将网站的公钥等信息进行了签名,当客户端请求服务器的时候,网站会把证书发给客户端,客户端首先可以通过CA的数字签名校验CA的身份,也能证明证书的真实完整性。客户端有没有可能到一个假冒的CA去校验数字证书呢?不太可能,因为CA的地址是内嵌在浏览器中的,很难被篡改。

---------------------------------------------------------------

1. 创建根证书,rootca.pem为根证书
vi rootca.cnf
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
 
[ req_distinguished_name ]
C = CN
O = Test
CN = RootCA
 
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
basicConstraints = CA:TRUE
keyUsage = cRLSign, keyCertSign

echo unique_subject=no > index.attr
openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 -config rootca.cnf -outform PEM -out rootca.pem -keyout rootca_pri.pem
openssl x509 -in rootca.pem -inform pem -outform der -out rootca.der

2. 颁发二级证书(公钥证书),signcert.pem为公钥证书
vi signcert.cnf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
 
[ req_distinguished_name ]
C = CN
O = Test
CN = Signing Certificate
 
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
keyUsage = critical, nonRepudiation, digitalSignature
extendedKeyUsage = codeSigning

openssl genrsa -out signcert_pri.pem 2048
openssl req -new -config signcert.cnf -out signcert.csr -key signcert_pri.pem
openssl x509 -req -in signcert.csr -CA rootca.pem -CAkey rootca_pri.pem -CAcreateserial -out signcert.pem -days 3650 -extensions extensions -extfile signcert.cnf
openssl x509 -in signcert.pem -inform pem -outform der -out signcert.der


3. 创建CMS签名。
使用私钥证书signcert.pem和私钥signcert_pri.pem创建CMS格式签名。source.txt为签名前原始文件,signed_source.txt为签名后文件(signed_source.txt即为创建的CMS签名)
openssl cms -sign -in source.txt -inkey signcert_pri.pem -signer signcert.pem -out signed_source.txt -outform PEM -nodetach


 

182422883
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
Rockey Linux下OpenSSL制作签名CA证书应用
最新发布
07-13
Rockey Linux下OpenSSL制作签名CA证书应用
Objective-C CMS签名的实现
杂家怪谈
01-24 1265
通过私钥和证书封装成SMIME格式,并返回base64格式。基于openssl,参考openssl的demo,具体实现如下- (NSString *) cmsSignStr : (NSString*) inputStr privateKey:(NSString*) inputPrv publicKey :(NSString *) inputPub { NSString *retStr;
openssl 生成证书步骤
hinewcc的博客
05-08 2608
本地使用 openssl 生成证书
使用 openssl 生成证书
weixin_34075551的博客
09-17 4495
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
Openssl CMS/P7S数字签名校验
Raygo的博客
03-27 2309
使用OpenSsl进行CMS/p7s数字签名校验,包括命令行和代码实现
openssl制作证书
zqj1172102457的博客
04-20 238
搭建制作证书的环境 新建一个证书制作的测试目录,比如mycerts 从系统中的openssl安装目录的证书制作配置文件openssl.cnf(比如/etc/ssl/openssl.cnf)拷贝到测试目录中 创建demoCA目录,demoCA相当于是一个完整的CA机构,有一个数据库,管理各种证书文件信息 /home/mycerts # mkdir demoCA 创建demoCA/newce...
Openssl命令制作证书
u012151242的博客
04-08 271
1.生成私钥openssl genrsa -out rsa_private.key 10242.使用私钥生成公钥openssl rsa -in rsa_private.key -pubout -out rsa_public.key3.生成自签名证书openssl req -new -x509 -days 365 -key rsa_private.key -out cert.cer -subj "/...
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
使用数字证书进行PKCS#7数字签名
08-02
越来越多的应用需要我们使用USB接口数字证书进行PKCS#7数字签名。本文分别介绍了使用微软CryptoAPI方式和OpenSSL Engine方式进行数字签名。特别地,提出了OpenSSL Engine简化方式,这种方式更为灵活方便易行。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
基于 CMS 数字签名的 Ticket-based SSO
sharemyfree的专栏
03-02 2340
 http://www.ibm.com/developerworks/cn/java/j-lo-cms-ticketbasesso/ 本文将介绍在 Web 环境下,客户端和服务器端如何基于 CMS(Crypto Message Syntax) 数字签名实现两者之间的 Web SSO(Single Sign On),重点介绍如何用 Java 语言实现 CMS 数字签名的生成与验证,以
CMS签名研究(openssl
Joe's Blog
11-01 9543
CMS签名研究材料: 描述: 使用CMS对u-boot.imx文件进行签名,生成签名signature文件。
OpenSSL命令---CMS
VitalityShow(网络通讯)
10-29 7575
该命令处理S/MIME v3.1邮件。可以用它对S/MIME消息进行加密、解密、签名、验证签名、压缩以及解压缩等操作。
java openssl cms_OpenSSL |简介
weixin_28761455的博客
03-06 395
OpenSSL 是一个加解密和SSL/TLS 的工具箱,给我们提供了程序开发的库函数以及命令行工具。命令语法openssl cmd -help | [-option | -option arg] ... [arg] ...命令一览| asn1parse | OpenSSL application commands || ca | OpenSSL application commands || CA...
openssl3.2 - 官方demo学习 - cms - cms_ver.c
谢绝留言与私信
01-13 583
CMS验签, 将单独签名和联合签名出来的签名文件都试试.验签成功后, 将签名数据明文写入了文件供查看.也就是说, 只有验签成功后, 才能看到签名数据的明文.验签时, 使用的是上一级的证书(这里是CA证书)签名时, 使用的是低级证书(接收者证书, 或者说是签名证书, 这些证书都是CA证书发出来的)
EDCSA OPENSSL签名验签方法
weixin_44435894的博客
02-21 3657
openssl x509 -in 123.cer -pubkey -noout > 123.pem----------------------------------------从证书中提取公钥 【说明:从证书123.cer中,提取123.pem(公钥)】 C:\Users\Administrator>openssl dgst -sha256 -binary -out data.sha256 data.txt -------------------生成hash256 【说明:使用data.tx
openssl使用以及C#加密和数字签名
05-31
好的,我来依次回答你的两个问题。 ## 1. openssl使用 OpenSSL是一个强大的开源加密工具包,可以用于加密、解密、签名和验证数据等操作。 具体使用方法如下: 1. 安装OpenSSL:可以从官网下载安装包,根据操作系统安装。 2. 生成密钥对:使用openssl命令生成公私钥对。 ```bash openssl genrsa -out rsa_private_key.pem 2048 openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem ``` 3. 加密数据:使用公钥加密数据。 ```bash openssl rsautl -encrypt -in plaintext.txt -out ciphertext.txt -inkey rsa_public_key.pem -pubin ``` 4. 解密数据:使用私钥解密数据。 ```bash openssl rsautl -decrypt -in ciphertext.txt -out plaintext.txt -inkey rsa_private_key.pem ``` 5. 签名数据:使用私钥对数据进行签名。 ```bash openssl dgst -sha256 -sign rsa_private_key.pem -out signature.bin plaintext.txt ``` 6. 验证签名使用公钥对签名进行验证。 ```bash openssl dgst -sha256 -verify rsa_public_key.pem -signature signature.bin plaintext.txt ``` ## 2. C#加密和数字签名 C#也提供了加密和数字签名的功能,可以使用System.Security.Cryptography命名空间下的类来实现。 具体使用方法如下: 1. 生成密钥对:使用RSACryptoServiceProvider类生成公私钥对。 ```csharp RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(2048); string privateKey = rsa.ToXmlString(true); string publicKey = rsa.ToXmlString(false); ``` 2. 加密数据:使用公钥加密数据。 ```csharp byte[] data = Encoding.UTF8.GetBytes("Hello World!"); byte[] encryptedData = rsa.Encrypt(data, false); ``` 3. 解密数据:使用私钥解密数据。 ```csharp byte[] decryptedData = rsa.Decrypt(encryptedData, false); string plaintext = Encoding.UTF8.GetString(decryptedData); ``` 4. 签名数据:使用私钥对数据进行签名。 ```csharp byte[] data = Encoding.UTF8.GetBytes("Hello World!"); byte[] signature = rsa.SignData(data, new SHA256CryptoServiceProvider()); ``` 5. 验证签名使用公钥对签名进行验证。 ```csharp bool verified = rsa.VerifyData(data, new SHA256CryptoServiceProvider(), signature); ``` 以上就是关于openssl使用和C#加密和数字签名的简单介绍,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值