数字证书及安全加密(一)数字证书基础知识

最新推荐文章于 2024-05-27 09:45:11 发布
最新推荐文章于 2024-05-27 09:45:11 发布
阅读量850 收藏 1
点赞数
分类专栏: https 文章标签: CA SSL 双向SSL https httpclient
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sb33060418/article/details/84517368
版权
本篇博文内容摘自其他网络资料。
[quote][url]http://www.cnblogs.com/lzjsky/archive/2010/09/29/1838240.html[/url]
[url]http://snowolf.iteye.com/blog/735294[/url]
[/quote]
[b]1.名词解释[/b]
[b]SSL[/b]
安全套接层(Secure Sockets Layer,SSL)是一种安全协议,在网景公司(Netscape)推出首版Web浏览器的同时提出,目的是为网络通信提供安全及数据完整性保障,SSL在传输层中对网络通信进行加密。
SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃 听。它在服务器和客户机两端可同时被支持,目前已成为互联网上保密通讯的工业标准。现行的Web浏览器亦普遍将HTTP和SSL相结合,从而实现安全通信。此协议其继任者是TLS。
这种协议在Web上获得了广泛的应用。IETF(www.ietf.org)将SSL作了标准化,即RFC2246,并将其称为TLS(Transport Layer Security),其最新版本是RFC 5246,版本1.2。从技术上讲,TLS1.0与SSL3.0的差异非常微小。
[b]TLS[/b]
传输层安全(Transport Layer Security,TLS)利用密钥算法在互联网上提供端点身份认证与通讯保密,其基础是公钥基础设施(public key infrastructure,PKI)。不过在实现的典型例子中,只有网络服务者被可靠身份验证,而其客户端则不一定。这是因为公钥基础设施普遍商业运营,电子签名证书通常需要付费购买。协议的设计在某种程度上能够使主从式架构应用程序通讯本身预防窃 听、干扰(Tampering)和消息伪造。
[b]HTTPS[/b]
超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。
[b]CA[/b]
数字证书认证机构(CA, Certificate Authority),也称为电子商务认证中心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。

[b]2.证书格式[/b]
常见的证书格式有jks,cer,p12,pem等,证书文件后缀名也有.cer,.crt,.keystore,.pfx等多种,每种格式和后缀有什么区别,之间又有什么联系呢?

在Security编程中,有几种典型的密码交换信息文件格式:
DER-encoded certificate: .cer, .crt
PEM-encoded message: .pem
PKCS#12 Personal Information Exchange: .pfx, .p12
PKCS#10 Certification Request: .p10
PKCS#7 cert request response: .p7r
PKCS#7 binary message: .p7b

cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem) 。.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥,里面包括一到多个证书。

X.509定义了两种证书:公钥证书和属性证书
PKCS#7和PKCS#12使用的都是公钥证书
PKCS#7的SignedData的一种退化形式可以分发公钥证书和CRL
一个SignedData可以包含多张公钥证书
PKCS#12可以包含公钥证书及其私钥,也可包含整个证书链

如何从p12/pfx文件中提取密钥对及其长度:
1,首先,读取pfx/p12文件(需要提供保护密码)
2,通过别名(Alias,注意,所有证书中的信息项都是通过Alias来提取的)提取你想要分析的证书链
3,再将其转换为一个以X509证书结构体
4,提取里面的项,如果那你的证书项放在第一位(单一证书),直接读取 x509Certs[0](见下面的代码)这个X509Certificate对象
5,X509Certificate对象有很多方法,读取RSA密钥(公私钥)及其长度如下:
X509Certificate keyPairCert = x509Certs[0];
int iKeySize = X509CertUtil.getCertificateKeyLength(keyPairCert);
System.out.println("证书密钥算法="+keyPairCert.getPublicKey().getAlgorithm());
System.out.println("证书密钥长度="+iKeySize);
可提取到需要的信息。

[b]3.java keytool[/b]
[b]简介 [/b]
Java自带的keytool工具是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥(以证书形式)。
keytool 将密钥和证书储存在一个所谓的密钥仓库(keystore)中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。
[b]Java KeyStore的类型[/b]
JKS和JCEKS是Java密钥库(KeyStore)的两种比较常见类型(共有5种,JKS, JCEKS, PKCS12, BKS,UBER),java读取KeyStore时缺省类型是JKS。
JKS的Provider是SUN,在每个版本的JDK中都有,JCEKS的Provider是SUNJCE,1.4后我们都能够直接使用它。
JCEKS在安全级别上要比JKS强,使用的Provider是JCEKS(推荐),尤其在保护KeyStore中的私钥上(使用TripleDes)。
PKCS#12是公钥加密标准,它规定了可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件,在windows中可以直接导入到密钥区,注意,PKCS#12的密钥库保护密码同时也用于保护Key。
BKS 来自BouncyCastle Provider,它使用的也是TripleDES来保护密钥库中的Key,它能够防止证书库被不小心修改(Keystore的keyentry改掉1个 bit都会产生错误),BKS能够跟JKS互操作,读者可以用Keytool去TryTry。
UBER比较特别,当密码是通过命令行提供的时候,它只能跟keytool交互。整个keystore是通过PBE/SHA1/Twofish加密,因此keystore能够防止被误改、察看以及校验。以前,Sun JDK(提供者为SUN)允许你在不提供密码的情况下直接加载一个Keystore,类似cacerts,UBER不允许这种情况。
[b]使用[/b]
java keytool位置为<JAVA_HOME>\bin\keytool.exe 
cd %JAVA_HOME%/bin

生成P12格式证书 
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore D:/lib/client.p12 -storepass client

导出CER格式证书 
keytool -export -v -alias client -keystore D:/lib/client.p12 -storetype PKCS12 -rfc -file D:/lib/client.cer -storepass client

导入CER格式证书至JKS证书库 
keytool -import -v -file D:/lib/client.cer -keystore D:/lib/servertrust.keystore -alias client -keypass client -storepass servertrust

查看JKS证书库 
keytool -list -v -keystore D:/lib/servertrust.keystore -storepass servertrust

[b]参数说明[/b] 
-genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录)
-alias 产生别名 每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写
-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)
-keyalg 指定密钥的算法 (如 RSA DSA,默认值为:DSA)
-validity 指定创建的证书有效期多少天(默认 90)
-keysize 指定密钥长度 (默认 1024)
-storepass 指定密钥库的密码(获取keystore信息所需的密码)
-keypass 指定别名条目的密码(私钥的密码)
-dname 指定证书发行者信息 其中: “CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名 称,ST=州或省份名称,C=单位的两字母国家代码”
-list 显示密钥库中的证书信息 keytool -list -v -keystore 指定keystore -storepass 密码
-v 显示密钥库中的证书详细信息
-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码
-file 参数指定导出到文件的文件名
-delete 删除密钥库中某条目 keytool -delete -alias 指定需删除的别 -keystore 指定keystore – storepass 密码
-printcert 查看导出的证书信息 keytool -printcert -file g:\sso\michael.crt
-keypasswd 修改密钥库中指定条目口令 keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage
-storepasswd 修改keystore口令 keytool -storepasswd -keystore g:\sso\michael.keystore(需修改口令的keystore) -storepass pwdold(原始密码) -new pwdnew(新密码)
-import 将已签名数字证书导入密钥库 keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书


[b]4.其他格式证书导入[/b]
[b]p12格式[/b]
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。JKS文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
两者之间是可以通过导入/导出的方式进行转换的,这种转换需要通过KeyTool工具进行,但keytool也无法直接导入PKCS12文件。
第一种方法是使用IE将pfx证书导入,再导出为cert格式文件。使用上面介绍的方法将其导入到密钥仓库中。这样的话仓库里面只包含了证书信息,没有私钥内容。
第二种方法是将pfx文件导入到IE浏览器中,再导出为pfx文件。
新生成的pfx不能被导入到keystore中,报错:keytool错误: java.lang.Exception: 所输入的不是一个 X.509 认证。新生成的pfx文件可以被当作keystore使用。但会报个错误as unknown attr1.3.6.1.4.1.311.17.1,查了下资料,说IE导出的就会这样,使用Netscape就不会有这个错误.
第三种方法是将pfx文件当作一个keystore使用。但是通过微软的证书管理控制台生成的pfx文件不能直接使用。keytool不认此格式,报keytool错误: java.io.IOException: failed to decrypt safe contents entry。需要通过OpenSSL转换一下: 
openssl pkcs12 -in mycerts.pfx -out mycerts.pem 
openssl pkcs12 -export -in mycerts.pem -out mykeystore.p12

通过keytool的-list命令可检查下密钥仓库中的内容: 
keytool -rfc -list -keystore mykeystore.p12 -storetype pkcs12

这里需要指明仓库类型为pkcs12,因为缺省的类型为jks。这样此密钥仓库就即包含证书信息也包含私钥信息。
[b]P7B格式[/b]
keytool无法直接导入p7b文件。
需要将证书链RootServer.p7b(包含根证书)导出为根rootca.cer和子rootcaserver.cer 。
将这两个证书导入到可信任的密钥仓库中。 
keytool -import -alias rootca -trustcacerts -file rootca.cer -keystore testkeytrust.jks

遇到是否信任该证书提示时,输入y 
keytool -import -alias rootcaserver -trustcacerts -file rootcaserver.cer -keystore testkeytrust.jks


[b]5.加解密及签名验证[/b]
以下内容引用自snowolf的博文[url]http://snowolf.iteye.com/blog/735294[/url]

对于jks格式的数字证书,可以直接使用代码读取证书内信息并使用,但对于p12证书则需要用到上面的导入命令执行以下方案
[list]
[*]a.通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。 

keytool -importkeystore -v  -srckeystore server.pfx -srcstoretype pkcs12 -srcstorepass password -destkeystore server.jks -deststoretype jks -deststorepass password

[*]b.检索新生成的密钥库文件,提取别名信息。
[*]c.由密钥库文件导出数字证书(这里将用到别名)。
[*]d.通过代码提取公钥/私钥、签名算法等|
[/list]
abc三步使用前文提供的方法,这里直接给出提取公钥/私钥,使用密钥对加解密及签名验证的代码 

/**
 * 2010-8-11
 */

import java.io.FileInputStream;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Signature;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.util.Date;

import javax.crypto.Cipher;

/**
 * 证书操作类
 * 
 * @author <a href="mailto:zlex.dongliang@gmail.com">梁栋</a>
 * @since 1.0
 */
public class CertificateCoder {
	/**
	 * Java密钥库(Java Key Store,JKS)KEY_STORE
	 */
	public static final String KEY_STORE = "JKS";

	public static final String X509 = "X.509";

	/**
	 * 由 KeyStore获得私钥
	 * 
	 * @param keyStorePath
	 * @param keyStorePassword
	 * @param alias
	 * @param aliasPassword
	 * @return
	 * @throws Exception
	 */
	private static PrivateKey getPrivateKey(String keyStorePath,
			String keyStorePassword, String alias, String aliasPassword)
			throws Exception {
		KeyStore ks = getKeyStore(keyStorePath, keyStorePassword);
		PrivateKey key = (PrivateKey) ks.getKey(alias,
				aliasPassword.toCharArray());
		return key;
	}

	/**
	 * 由 Certificate获得公钥
	 * 
	 * @param certificatePath
	 * @return
	 * @throws Exception
	 */
	private static PublicKey getPublicKey(String certificatePath)
			throws Exception {
		Certificate certificate = getCertificate(certificatePath);
		PublicKey key = certificate.getPublicKey();
		return key;
	}

	/**
	 * 获得Certificate
	 * 
	 * @param certificatePath
	 * @return
	 * @throws Exception
	 */
	private static Certificate getCertificate(String certificatePath)
			throws Exception {
		CertificateFactory certificateFactory = CertificateFactory
				.getInstance(X509);
		FileInputStream in = new FileInputStream(certificatePath);

		Certificate certificate = certificateFactory.generateCertificate(in);
		in.close();

		return certificate;
	}

	/**
	 * 获得Certificate
	 * 
	 * @param keyStorePath
	 * @param keyStorePassword
	 * @param alias
	 * @return
	 * @throws Exception
	 */
	private static Certificate getCertificate(String keyStorePath,
			String keyStorePassword, String alias) throws Exception {
		KeyStore ks = getKeyStore(keyStorePath, keyStorePassword);
		Certificate certificate = ks.getCertificate(alias);

		return certificate;
	}

	/**
	 * 获得KeyStore
	 * 
	 * @param keyStorePath
	 * @param password
	 * @return
	 * @throws Exception
	 */
	private static KeyStore getKeyStore(String keyStorePath, String password)
			throws Exception {
		FileInputStream is = new FileInputStream(keyStorePath);
		KeyStore ks = KeyStore.getInstance(KEY_STORE);
		ks.load(is, password.toCharArray());
		is.close();
		return ks;
	}

	/**
	 * 私钥加密
	 * 
	 * @param data
	 * @param keyStorePath
	 * @param keyStorePassword
	 * @param alias
	 * @param aliasPassword
	 * @return
	 * @throws Exception
	 */
	public static byte[] encryptByPrivateKey(byte[] data, String keyStorePath,
			String keyStorePassword, String alias, String aliasPassword)
			throws Exception {
		// 取得私钥
		PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,
				alias, aliasPassword);

		// 对数据加密
		Cipher cipher = Cipher.getInstance(privateKey.getAlgorithm());
		cipher.init(Cipher.ENCRYPT_MODE, privateKey);

		return cipher.doFinal(data);

	}

	/**
	 * 私钥解密
	 * 
	 * @param data
	 * @param keyStorePath
	 * @param alias
	 * @param keyStorePassword
	 * @param aliasPassword
	 * @return
	 * @throws Exception
	 */
	public static byte[] decryptByPrivateKey(byte[] data, String keyStorePath,
			String alias, String keyStorePassword, String aliasPassword)
			throws Exception {
		// 取得私钥
		PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,
				alias, aliasPassword);

		// 对数据加密
		Cipher cipher = Cipher.getInstance(privateKey.getAlgorithm());
		cipher.init(Cipher.DECRYPT_MODE, privateKey);

		return cipher.doFinal(data);

	}

	/**
	 * 公钥加密
	 * 
	 * @param data
	 * @param certificatePath
	 * @return
	 * @throws Exception
	 */
	public static byte[] encryptByPublicKey(byte[] data, String certificatePath)
			throws Exception {

		// 取得公钥
		PublicKey publicKey = getPublicKey(certificatePath);
		// 对数据加密
		Cipher cipher = Cipher.getInstance(publicKey.getAlgorithm());
		cipher.init(Cipher.ENCRYPT_MODE, publicKey);

		return cipher.doFinal(data);

	}

	/**
	 * 公钥解密
	 * 
	 * @param data
	 * @param certificatePath
	 * @return
	 * @throws Exception
	 */
	public static byte[] decryptByPublicKey(byte[] data, String certificatePath)
			throws Exception {
		// 取得公钥
		PublicKey publicKey = getPublicKey(certificatePath);

		// 对数据加密
		Cipher cipher = Cipher.getInstance(publicKey.getAlgorithm());
		cipher.init(Cipher.DECRYPT_MODE, publicKey);

		return cipher.doFinal(data);

	}

	/**
	 * 验证Certificate
	 * 
	 * @param certificatePath
	 * @return
	 */
	public static boolean verifyCertificate(String certificatePath) {
		return verifyCertificate(new Date(), certificatePath);
	}

	/**
	 * 验证Certificate是否过期或无效
	 * 
	 * @param date
	 * @param certificatePath
	 * @return
	 */
	public static boolean verifyCertificate(Date date, String certificatePath) {
		boolean status = true;
		try {
			// 取得证书
			Certificate certificate = getCertificate(certificatePath);
			// 验证证书是否过期或无效
			status = verifyCertificate(date, certificate);
		} catch (Exception e) {
			status = false;
		}
		return status;
	}

	/**
	 * 验证证书是否过期或无效
	 * 
	 * @param date
	 * @param certificate
	 * @return
	 */
	private static boolean verifyCertificate(Date date, Certificate certificate) {
		boolean status = true;
		try {
			X509Certificate x509Certificate = (X509Certificate) certificate;
			x509Certificate.checkValidity(date);
		} catch (Exception e) {
			status = false;
		}
		return status;
	}

	/**
	 * 签名
	 * 
	 * @param keyStorePath
	 * @param alias
	 * @param keyStorePassword
	 * @param aliasPassword
	 * @return
	 * @throws Exception
	 */
	public static byte[] sign(byte[] sign, String keyStorePath, String alias,
			String keyStorePassword, String aliasPassword) throws Exception {
		// 获得证书
		X509Certificate x509Certificate = (X509Certificate) getCertificate(
				keyStorePath, keyStorePassword, alias);

		// 取得私钥
		PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,
				alias, aliasPassword);

		// 构建签名
		Signature signature = Signature.getInstance(x509Certificate
				.getSigAlgName());
		signature.initSign(privateKey);
		signature.update(sign);
		return signature.sign();
	}

	/**
	 * 验证签名
	 * 
	 * @param data
	 * @param sign
	 * @param certificatePath
	 * @return
	 * @throws Exception
	 */
	public static boolean verify(byte[] data, byte[] sign,
			String certificatePath) throws Exception {
		// 获得证书
		X509Certificate x509Certificate = (X509Certificate) getCertificate(certificatePath);
		// 获得公钥
		PublicKey publicKey = x509Certificate.getPublicKey();
		// 构建签名
		Signature signature = Signature.getInstance(x509Certificate
				.getSigAlgName());
		signature.initVerify(publicKey);
		signature.update(data);

		return signature.verify(sign);

	}

	/**
	 * 验证Certificate
	 * 
	 * @param keyStorePath
	 * @param keyStorePassword
	 * @param alias
	 * @return
	 */
	public static boolean verifyCertificate(Date date, String keyStorePath,
			String keyStorePassword, String alias) {
		boolean status = true;
		try {
			Certificate certificate = getCertificate(keyStorePath,
					keyStorePassword, alias);
			status = verifyCertificate(date, certificate);
		} catch (Exception e) {
			status = false;
		}
		return status;
	}

	/**
	 * 验证Certificate
	 * 
	 * @param keyStorePath
	 * @param keyStorePassword
	 * @param alias
	 * @return
	 */
	public static boolean verifyCertificate(String keyStorePath,
			String keyStorePassword, String alias) {
		return verifyCertificate(new Date(), keyStorePath, keyStorePassword,
				alias);
	}
}

测试类 

import static org.junit.Assert.*;

import java.util.Date;

import org.apache.commons.codec.binary.Hex;
import org.junit.Test;

/**
 * 证书操作验证类
 * 
 * @author <a href="mailto:zlex.dongliang@gmail.com">梁栋</a>
 * @version 1.0
 * @since 1.0
 */
public class CertificateCoderTest {
	private String certificatePath = "zlex.crt";
	private String keyStorePath = "zlex.keystore";
	private String keyStorePassword = "123456";
	private String aliasPassword = "123456";
	private String alias = "1";

	@Test
	public void test() throws Exception {
		System.err.println("公钥加密——私钥解密");
		String inputStr = "Ceritifcate";
		byte[] data = inputStr.getBytes();

		byte[] encrypt = CertificateCoder.encryptByPublicKey(data,
				certificatePath);

		byte[] decrypt = CertificateCoder.decryptByPrivateKey(encrypt,
				keyStorePath, alias, keyStorePassword, aliasPassword);
		String outputStr = new String(decrypt);

		System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);

		// 验证数据一致
		assertArrayEquals(data, decrypt);

		// 验证证书有效
		assertTrue(CertificateCoder.verifyCertificate(certificatePath));

	}

	@Test
	public void testSign() throws Exception {
		System.err.println("私钥加密——公钥解密");

		String inputStr = "sign";
		byte[] data = inputStr.getBytes();

		byte[] encodedData = CertificateCoder.encryptByPrivateKey(data,
				keyStorePath, keyStorePassword, alias, aliasPassword);

		byte[] decodedData = CertificateCoder.decryptByPublicKey(encodedData,
				certificatePath);

		String outputStr = new String(decodedData);
		System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);
		assertEquals(inputStr, outputStr);

		System.err.println("私钥签名——公钥验证签名");
		// 产生签名
		byte[] sign = CertificateCoder.sign(encodedData, keyStorePath, alias,
				keyStorePassword, aliasPassword);
		System.err.println("签名:\r" + Hex.encodeHexString(sign));

		// 验证签名
		boolean status = CertificateCoder.verify(encodedData, sign,
				certificatePath);
		System.err.println("状态:\r" + status);
		assertTrue(status);
	}

	@Test
	public void testVerify() throws Exception {
		System.err.println("密钥库证书有效期验证");
		boolean status = CertificateCoder.verifyCertificate(new Date(),
				keyStorePath, keyStorePassword, alias);
		System.err.println("证书状态:\r" + status);
		assertTrue(status);
	}
}

修改以下属性
certificatePath:公钥证书路径
keyStorePath:证书库路径
keyStorePassword:证书库密码
alias:别名
aliasPassword:别名密码
运行后可以看到junit测试全部通过,控制台输出加解密信息和签名验证信息。
在CertificateCoder类的getPrivateKey和getPublicKey方法中加入输出信息可以看到私钥和公钥。
sb33060418
关注
专栏目录
数字证书基础知识
renwotao2009的专栏
03-16 2568
在之前的《iOS开发者证书以及代码签名学习笔记》博文中介绍了iOS开发证书以及代码签名相关的知识点,为了更好理解其中证书的特性,这里对数字证书以及相关的知识进行了整理和总结。 在讲数字证书之前必须要讲非对称加算法和摘要算法,因为数字证书的基础就是各种加解密算法(非对称加密、摘要算法),而其中的核心就是非对称加密算法了。目前而言加密方法可以分为两大类。一类是单钥加密(private key crypt
数字加密和认证
王雅瑾---上善若水,水善利万物而不争
05-17 1466
看到软考书中的加密技术和认证技术,脑袋就大了。
安全加密 - 证书和PKI
迟来大师的博客
12-01 385
证书 CA(Certificate Authority)是数字证书认证中心,常称为证书颁发机构。 申请者提交自己的公钥和一些个人信息(如申请者国家,姓名,单位等)给CACA对申请者的这些信息单向加密生成摘要信息,然后使用自己的私钥加密整个摘要信息, 这样就得到了CA对申请者的数字签名, 在数字签名上再加上CA自己的一些信息(如CA的机构名称,CA层次路径等)以及该证书的信息(如证书有效期限), 就得到了所谓的数字证书。 KPI 根CA和子CA组成了PKI。 ...
关于数字证书ssl证书
yiguang_820的博客
05-30 2437
java使用SSL Socket实例。数字证书是什么,里面都包含那些内容。TLS和SSL有什么区别?
SSL/TLS温故知新-证书格式简介(PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL )
-
11-20 7399
一.SSl证书格式简介 (1)常见的格式有: PEM、JKS、CRT、PFX 等。 PEM - 它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件 JKS - keytool工具生成的的文件转换成的JKS格式证书。JKS证书主要用于java级系统应用如tomcat等. CRT - 证书文件。可以是PEM格式。 PFX 或 P12 – 公...
加密、数字签名和数字证书看这一篇就够了
最新发布
cz285933169的专栏
05-27 930
本文将介绍网络安全基础知识: - 对称加密 - 非对称加密 - 混合加密 - 数字签名 - 数字证书 深入研究网络传输数据时的窃听、假冒、篡改和事后否认行为是怎么形成的,以及如何防范这些非法行为。
公钥私钥加密解密数字证书数字签名详解.docx
05-26
#### 一、基础知识概述 在探讨公钥私钥加密解密、数字证书以及数字签名之前,我们需要先理解几个核心概念。 **1. 密钥对:** - 在非对称加密技术中,存在两种密钥——私钥和公钥。私钥由密钥对的所有者持有且必须...
数字证书简介-SSL协议及数据安全传输.pdf
06-11
数字证书简介、SSL协议原理、数据安全传输是互联网安全领域的核心知识点。数字证书为互联网上的通信双方提供了身份验证机制,确保双方身份的真实性,防止数据在传输过程中被窃听、篡改和抵赖。SSL协议是当前广泛使用...
行业分类-设备装置-一种数字证书到期提醒方法及装置.zip
09-04
"一种数字证书到期提醒方法及装置"的主题涉及到的是如何有效地管理和维护这些证书,以防止因证书过期而导致的安全风险和业务中断。下面将详细解释这个主题的相关知识点。 1. **数字证书**:数字证书是一种电子文档...
数字证书原理分析总结
skydust1979的博客
05-23 2419
什么是数字证书 数字证书在网络上类似于人在社会上持有的身份证等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络身份证”,用来在网络上证明自己的身份。 数字证书与身份证都是由专门的机构来签发。 身份证通常由公安局来签发,上面盖有签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心(简称CA中心)来签发,数字证书上面有CA中心的电子签名,以证明数字证书的有效性。根据国家相关部门的许可授权建立的数
关于PEM, DER, CRT, CER,KEY等各类证书与密钥文件后缀的解释
热门推荐
Laurence的技术博客
03-18 2万+
文章目录PEM文件DER文件PEM与DER的相互转换 总得来说这些文件都与X.509证书和密钥文件有关,从文件编码上分,只有两大类: PEM格式:使用Base64 ASCII进行编码的纯文本格式 DER格式:二机制格式 而CRT, CER,KEY这几种证书和密钥文件,它们都有自己的schema,在存储为物理文件时,既可以是PEM格式,也可以DER格式。 CER:一般用于windows的证书文件格式 CRT:一般用于Linux的证书,包含公钥和主体信息 KEY:一般用于密钥,特别是私钥 打个比方:CE
java加密技术(八) 数字证书_Java加密技术(八)——数字证书
weixin_39793098的博客
02-13 226
本篇的主要内容为Java证书体系的实现。请大家在阅读本篇内容时先阅读 Java加密技术(四),预先了解RSA加密算法。在构建Java代码实现前,我们需要完成证书的制作。1.生成keyStroe文件在命令行下执行以下命令:keytool -genkey -validity 36000 -alias www.zlex.org -keyalg RSA -keystore d:\zlex.keystore...
网络安全技术——数字证书技术原理
网工紫电的博客
10-26 3856
点击上方“蓝字”关注我们吧在上节《网络安全技术——加密技术、数字签名技术》中研究了数据通信中的加密和签名技术,在非对称加密体系中,A用户拿到B用户的公钥后便可以用这个公钥进行加密数据与...
Certificate 超详细解析cer证书(序列号,颁发者,公钥等)
生命不息,bug不止,一起探讨下写bug的技术吧
03-02 2万+
我们一般说的证书就是数字证书数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份 一般有两种:PFX证书CER证书 PFX证书: 由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。 一般RSA证书比较多,现在国内的RSA根证到期,有些企业已经不用了。 SM2证书: 1.二进制编码的证书 证书中没有私钥,DER 编码二进制格式的证书文件,以ce
区分获取SM2、RSA类型证书的密钥长度、秘钥算法和签名算法值
爱java的小蓝的博客
09-29 6512
最近不知道在忙什么,也不知道写点什么,直接丢个工具类吧~~~ /** * 获取X509证书的秘钥算法和秘钥长度 * * @param certificate * @return */ public static CertInfo getKeyAlgAndLength(X509Certificate certificate) throws Exceptio...
java常见证书类型和密钥库类型
liaomin416100569的专栏
07-24 1万+
一 。证书类型    1》证书概念:       证书是对现实生活中 某个人或者某件物品的价值体现 比如古董颁发见证书 ,人颁发献血证等 通常证书会包含以下内容 证书拥有者名称(CN),组织单位(OU)组织(O),城市(L) 区(ST) 国家/地区( C )       证书的过期时间 证书的颁发机构 证书颁发机构对证书的签名,签名算法,对象的公钥等       数字证书的格式遵循X.5...
数字证书 安全加密
只不停的博客
01-22 466
公钥和私钥 在信息传递过程中,大家都知道的叫公钥(public key),只有自己知道的叫私钥(private key) 一种算法保密机制:A向B发送一个消息,并用B的公钥加密这个消息,生成密文发送,B收到后用自己的私钥(B的私钥)去解密这个消息,得到原文。在这个过程中,用B的公钥加密的消息只有B的私钥才能解开,实现了保密功能。—公钥加密 私钥解密 另一种认证机制:A向B发送一个消息,用A自己的私...
数字证书基础知识解析和数字安全证书功能介绍
zymx(u010820135)的专栏
02-09 2396
from http://www.smartsys.cn/faq-6.html 数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。 一、CA数字证书认证中心 数字证书认证中心(
Android安全加密:数字签名与证书详解指南
Android安全加密:数字签名与数字证书是保障移动设备安全通信的关键组成部分。...理解数字签名和数字证书在Android安全加密中的作用,不仅涉及理论知识,更需将其应用于实际开发场景,确保移动应用的数据安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值