数字证书(Certificate)

最新推荐文章于 2022-03-02 18:09:16 发布
最新推荐文章于 2022-03-02 18:09:16 发布
阅读量4.4k 收藏
点赞数
分类专栏: 算法
原文链接:http://www.cnblogs.com/piyeyong/archive/2010/06/11/1755837.html

Security的基础就是加解密算法,算法是公开的,任何人都可以得到,而使用算法的核心就是key,主要有private key和public key,而数字证书作为key的载体,在Security体系中自然起到关键的作用。本文将从证书的发放,回收,保存,使用方面对数字证书进行详细的介绍。

1.证书的发放与回收

能否发放Certificate的机构称为CA,CA可以后多级,每一份certificate都含有发放该certificate的CA信息,每个CA也会有一张certificate,称之为CA certificate,是由它上一级CA发放给它的,顺着这条路径可以一直找到一个CA,它的certificate是自己发放给自己的,即issued byissued to都是它自己,该cert称之为Root certificate,即根证书。从叶子cert到root cert这条Path里所有的cert,就构成了一个certificate chain

证书的发放可以使用SCEP协议(Simple Certificate Enrollment Protocol),参照:http://tools.ietf.org/html/draft-nourse-scep-18.证书含有有效期,必须在有效期内使用,不过在验证证书时,可以忽略证书的有效期。

Windows server 2003和2008都含有CA service,安装完后,会自带一个asp的website用于证书的发放,如果想在程序中实现自动获取证书,又不想实现SCEP协议,可以利用该asp的site,抓包分析使用的html协议,使用web通信来从CA获取证书,我将在后面用专门的文章详细分析如何实现。 

CA可以回收不再有效的证书,使用OCSP协议可以查询证书的状态。

 

2.证书保存

存储在本机的证书可以通过MMC查看:

MMC->AddStandalone Snap-in->Add...->Certificates->My user account|Computer account,如下图所示:

证书存储的Location分Local Computer和Current User,分别存放的是本机所有用户使用的和当前登录用户的证书,在每个Location下再分多个Logical store,如MY(Personal),ROOT(Trusted Root CertificationAuthorities),CA(Intermediate Certification Authorities)等,用户也可以创建自己的Logical store,如图中的test,需要使用CAPI。系统默认的Logical store如My,ROOT等又称System store。.net提供的API对store进行操作比较有限,只是CAPI的子集,通过查看.net源代码可以看到,.net通过P/Invoke对CAPI进行封装,并且将大量参数固定,只暴露一部分功能出来,例如对In memory store的创建,cert显示时的extra certs,删除Logical store等。后面我将用专门的文章讲解当发现.net提供的manage code不够用时,如何使用P/Invoke调用CAPI。

证书的实际存储位置:

当前用户的Personal和Request证书:%PROFILE%\Application Data\Microsoft\SystemCertificates

Current User的其它证书:HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates

Local Machine的证书:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

每个Store含有Certificates,CRLs,CTLs,Keys4个子目录(子键),其中Certificates存放的就是证书,cert的thumbprint做文件名(20B),CRLs(certificate revocation lists)是被吊销的证书列表,CTLs(Certificate trust list)是信任的证书列表,Keys存放的内容不确定,希望哪位高手指点,其文件名(键名)是证书的subject key identifier(20B)。

Current User证书的private key实际是存在:%PROFILE%\Application Data\Microsoft\Crypto\RSA\[SID string]

Local Machine的证书的private key实际是存在:%ALLUSERS%\Application Data\Microsoft\Crypto\RSA\MachineKeys

文件名含有GUID后缀,该GUID存储在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid,关于前缀更详细的可以参照http://www.stevestechspot.com/default,month,2005-11.aspx

关于证书的public key,如下图所示,该public是ASN.1编码存储,对其使用SHA1计算,就得到了20B的Subject Key Identifier



证书可以导出到文件,在多个workstation间交互,常用的格式有*.cer, *.p7b, *.pfx。其中只有pfx可以含有private key,还可以指定密码对private key进行保护,可以指定空密码,可以将cert chain中所有证书都一并导出。*.p7b是PKCS7格式的,可以存储多张cert,PKCS7(Cryptography Message Syntax)定义了对文本加密和签名的规范和文件格式,使用ASN.1各式描述,参照http://tools.ietf.org/html/rfc2315。在.net中有两个类实现该协议:EnvelopedCms和SignedCms,分别实现加密和签名。在这里解释几个常用的重要的属于:

ASN.1(Abstract Syntax Notation)是对抽象语法的描述,实际就是一些网络上传输协议的数据结构的描述,

BER(Basic Encoding Rules)基本编码规则,定义了如何将ASN.1描述的数据结构进行编码成二进制字节流,方便在网络中传输

DER(Distinguished Encoding Rules)唯一编码规则,实现了BER的子集,在实际中使用的编码规则。

PKCS10(Certificate Request Syntax Specification)描述了进行证书申请时的格式,申请者需要发送CSR(Certificate signing request)给CA来申请证书,该CSR的数据结构就在PKCS10中描述的,参照http://tools.ietf.org/html/rfc2986#ref-3http://en.wikipedia.org/wiki/Certificate_signing_request

BASE64 一种编码方式,将ASCII转为可打印字符,源码中6bit放入编码后的一个Byte,这样长度会增加1/3

PKCS12描述了PFX证书的格式


3.证书的使用

证书是private/public key的载体,也是身份的象征,凡是需要用到加解密,身份验证的场合都需要用到证书。主要用途:数据加解密,签名,SSL

参照http://msdn.microsoft.com/en-us/magazine/cc163454.aspx,非常详细,我就不翻译了。

当今明月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数字证书相关
qq_37254973的博客
04-20 4449
概念 数字证书 数字身份(digital identity)是身份标识方式的一种,是一对“钥匙”,其中一个只有她/他本人知道(即私钥),另一个是公开的(公钥)。把数字身份比喻成一个证件,那么数字证书就是身份认证机构盖在数字身份上的一个章或印(或者说加在数字身份上的一个签名),表示身份认证机构已认定这个人的这个数字身份并为这个人的这个数字身份背书。没有任何背书/印/加签/数字证书的数字身份是没有什么实际意义的。 SSL证书 SSL证书数字证书的一种,因为配置在服务器上,也称为SSL服务器证书。SSL
数字证书有效性验证
11-20 1万+
数字证书的有效性验证主要从三个方面:1,数字证书有效期验证                                                                  2,根证书验证                                                                  3,CRL验证 下面依次讲解这三块内容
微信商户API证书获取和API证书升级指引
JaneYork的博客
12-04 8509
说在前面的话: 目前微信支付REST API只支持使用证书授权机构(Certificate Authority , 简称CA)签发颁发的证书。商户需下载证书 工具生成证书请求串, 并将证书请求串提交到商户平台后才能获得商户API证书文件, 而私钥文件只能通过证书工具 导出。请妥善保管好你的商户私钥文件, 不要把私钥文件暴露在公共场合,如上传到Github,写在客户端代码等。 一、新接入商户平...
Certificate 超详细解析cer证书(序列号,颁发者,公钥等)
热门推荐
生命不息,bug不止,一起探讨下写bug的技术吧
03-02 2万+
我们一般说的证书就是数字证书数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份 一般有两种:PFX证书、CER证书 PFX证书: 由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。 一般RSA证书比较多,现在国内的RSA根证到期,有些企业已经不用了。 SM2证书: 1.二进制编码的证书 证书中没有私钥,DER 编码二进制格式的证书文件,以ce
Win10的使用与设置:笔记
pan_junbiao的博客
06-17 746
1、Win10怎么默认用Windows照片查看程序打开图片 2、Win10升级后使用Chrome浏览器特慢解决方法 1、Win10怎么默认用Windows照片查看程序打开图片 百度经验:https://jingyan.baidu.com/article/455a9950bb20bda166277824.html (1)首先,右击左下角的Windows图标,选择弹出菜单中的“运行”命令...
Python数字证书分析
07-21
在IT领域,尤其是在网络安全和加密通信中,数字证书扮演着至关重要的角色。它们是保障网络交互安全的关键元素,主要用于确认在线服务的身份,防止中间人攻击和数据篡改。本篇文章将深入探讨Python语言如何用于数字...
数字证书C#
11-05
例如,X509Certificate2类是处理数字证书的核心类,它提供了加载、验证和访问证书属性的方法。你可以通过以下代码创建或加载一个X509Certificate2实例: ```csharp X509Certificate2 certificate = new X509...
Android Certificate interface 安卓数字证书接口
02-24
这个jar文件给Android程序提供了方便简易的数字证书生成、更新、申请接口,在Android 4.0至5.0各版本中均测试成功。 接口里的方法参数解释请参阅CertFunc.java源码,测试范例代码请参考TestCertFunc.java源码。
golang解析数字证书
05-20
1. **数字证书(Digital Certificate)**:也称为X.509证书,是一种标准格式,用于在网络上证明实体的身份。它包含公钥、主体信息(如组织名、域名)、颁发者信息以及有效期等。 2. **公钥和私钥(Public Key and ...
数字证书格式详细说明
01-10
数字证书格式详细说明 数字证书是公钥加密系统中不可或缺的一部分,它用于身份验证、数据加密和数字签名。常见的数字证书格式有 X.509,它定义了两种证书:公钥证书和属性证书。 X.509 证书格式由以下部分组成: ...
Windows系统证书在注册表中的位置
ws_ysy的专栏
08-18 1936
(1)IE->证书内容 HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates 个人:MY 其他人:ADDRESSBOOK 中级证书颁发机构:CA 受信任的根证书颁发机构:ROOT 受信任的发布者:TrustedPublisher 未受信任的发布者:Disallowed (2)当前用户的证书 HKEY
使用OpenSSL生成cert证书并在程序中读取其公钥与证书信息
未来工厂的博客
08-24 2738
通常在Linux中命令行生成证书方便一些。 1.OpenSSL生成des3私钥key文件 openssl genrsa -des3 -out private-rsa.key 1024 2.OpenSSL用私钥key生成公钥证书文件 openssl req -new -x509 -key private-rsa.key -days 750 -out public-rsa.cer 命令行完整记录: wangyetao@wangyetao-Lenovo-G510:~/IdeaProjects/c
小程序的支付和退款(证书相对路径和绝对路径)
痞子的博客
06-07 3983
前记 这里主要是记录一下最近小程序开发支付和退款功能,主要还是实践为主。本文没有涉及mch-id、mch-key和商户证书(用来退款)的申请和下载。相信你做小程序开发一定知道他们什么和怎么申请。 其实遇到最大的坑是微信退款的证书在相对路径的还是绝对路径下的问题,先描述一下这个坑,这个坑在下面解决。我们使用的是阿里的SAE部署,所以证书文件我是采用的相对路径存储 1.绝对路径:如果你不是容器化部署(不是使用docker镜像或者阿里的SAE),yml文件中key-path你就直接在服务器或者本地的绝对路.
Win10 Windows Defender 删不掉的1个威胁
千里之行,始于足下
09-06 8078
转自:nightmoon1 的 《Win10 Windows Defender 每次快速扫描都显示1个威胁的解决》 原址:https://tieba.baidu.com/p/6467517250?red_tag=3433688823 原文: 首先,这个问题基本都是安装了阿里出品的软件造成的,比较多的就是阿里旺旺……我估计9成人都是靠它产生了一个威胁。 其次,这个威胁靠卸载和清除阿里的注册表相关项(只带有alibaba,alipay,aliwangwang等字段)是没有用的。所谓的威胁依然存在…… 然后,我在
Fastlane证书管理(一):cert、sigh
weixin_34255793的博客
06-12 602
1. 前言 cert、sigh和match是Fastlane中的三个Tool,他们都是与证书相关的工具。cert的作用是获取签名证书或删除过期的证书;sigh的作用是管理配置文件(provisioning profile),比如创建新的、修复过期的、删除本地的等;match的主要作用是使用cert和sigh创建新的证书和配置文件,并它们放置在git上,然后重复使用。 2. cert cert这个T...
html css js网页设计
最新发布
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
python SM2 x509数字证书
10-14
SM2是一种国密算法,用于椭圆曲线加密和数字签名。x509数字证书是一种常见的公钥证书格式,用于证明数字证书的合法性和身份认证。在Python中,可以使用第三方库pycryptodome来实现SM2算法和x509数字证书的生成。 下面是一个使用pycryptodome库生成SM2密钥对和x509数字证书的示例代码: ```python from Crypto.PublicKey import ECC from Crypto.Util.asn1 import DerSequence, DerOctetString, DerBitString, DerObjectId from Crypto.Util.number import long_to_bytes from Crypto.Signature import DSS from Crypto.Hash import SHA256 from datetime import datetime, timedelta import base64 # 生成SM2密钥对 key = ECC.generate(curve='sm2') private_key = key.export_key(format='DER') public_key = key.public_key().export_key(format='DER') # 生成x509数字证书 version = 2 # x509版本号,2表示v3 serial_number = 1 # 证书序列号 signature_algorithm = DerSequence([DerObjectId('1.2.156.10197.1.501')]) # 签名算法,SM2的OID为1.2.156.10197.1.501 issuer = DerSequence([DerObjectId('2.5.4.6'), DerOctetString('CN=CA')]) # 颁发者信息,这里假设颁发者为CN=CA validity_not_before = datetime.utcnow() # 证书有效期开始时间 validity_not_after = validity_not_before + timedelta(days=365) # 证书有效期结束时间,这里假设为一年 subject = DerSequence([DerObjectId('2.5.4.6'), DerOctetString('CN=Test')]) # 证书主题信息,这里假设证书主题为CN=Test subject_public_key_info = DerSequence([DerObjectId('1.2.840.10045.2.1'), DerObjectId('1.2.156.10197.1.301'), DerBitString(public_key)]) # 证书主题公钥信息,第一个OID表示ECC公钥,第二个OID表示SM2算法,第三个参数为公钥的DER编码 extensions = None # 扩展信息,这里不设置扩展信息 tbs_certificate = DerSequence([version, serial_number, signature_algorithm, issuer, validity_not_before, validity_not_after, subject, subject_public_key_info, extensions]) # 待签名的证书信息 hash_obj = SHA256.new(tbs_certificate.dump()) # 计算待签名证书信息的哈希值 signer = DSS.new(key, 'fips-186-3') # 使用SM2私钥创建签名器 signature = signer.sign(hash_obj) # 对待签名证书信息的哈希值进行签名 certificate = DerSequence([tbs_certificate, signature_algorithm, DerBitString(signature)]) # 构造完整的x509数字证书 certificate_der = certificate.dump() # 将数字证书编码为DER格式 certificate_base64 = base64.b64encode(certificate_der).decode() # 将DER格式的数字证书进行Base64编码 print('SM2私钥:', base64.b64encode(private_key).decode()) print('SM2公钥:', base64.b64encode(public_key).decode()) print('x509数字证书:', certificate_base64) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值