数字证书生成--加密密/加签验签

最新推荐文章于 2023-04-17 19:22:03 发布
最新推荐文章于 2023-04-17 19:22:03 发布
阅读量177 收藏
点赞数
原文链接:http://www.cnblogs.com/shindo/p/6346971.html
版权

最近一个项目,处于安全上的考虑,前后端需要使用安全证书加密通信,涉及ios/android-后台交互。在测试环境上没有正式的CA证书,使用自签证书开发。

下面把生成4套环境的自签证书过程mark下,如有需要,可参考:

 

以下命令的执行环境均为windows-cmd界面(前提需安装jdk,使用jdk自带的keytool工具)

 

1、生成jks、csr证书(这俩证书暂时没用):

keytool -genkey -alias *.test.com -sigalg SHA1withRSA -keyalg RSA -keysize 2048 -keystore D:/Citificate/testKey/test.jks -dname "C=CN,ST=珠海,L=珠海,O=测试样例公司,OU=研发部,CN=*.test.com" && keytool -certreq -alias *.test.com -file D:/Citificate/testKey/test.csr -keystore D:/Citificate/testKey/test.jks && echo Your certificate signing request file is D:/Citificate/testKey/test.csr.  Your keystore file is D:/Citificate/testKey/test.jks.  Thanks for using the 亚洲诚信TrustAsia keytool CSR helper.

 

2、生成keystore密钥库:

keytool -genkey -alias *.test.com -keypass password -keyalg RSA -keysize 2048 -validity 730 -keystore D:/Citificate/testKey/test.keystore -dname "C=CN,ST=珠海,L=珠海,O=测试样例公司,OU=研发部,CN=*.test.com" -storepass password

 

3、从密钥库导出cer、crt公钥证书:

keytool -export -alias *.test.com -keystore D:/Citificate/testKey/test.keystore -storepass password -rfc -file D:/Citificate/testKey/test.cer

crt公钥证书可以直接把这一步生成的cer证书修改文件后缀名得到

 

4、使用java工具类导出证书key

package test;

import java.io.FileInputStream;
import java.security.KeyStore;
import java.security.PrivateKey;

import sun.misc.BASE64Encoder;

@SuppressWarnings("restriction")
public class SslKey {

    public static KeyStore getKeyStore(String keyStorePath, String password) throws Exception {
        FileInputStream is = new FileInputStream(keyStorePath);
        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(is, password.toCharArray());
        is.close();
        return ks;
    }

    public static PrivateKey getPrivateKey() {
        try {

            BASE64Encoder encoder = new BASE64Encoder();
            KeyStore ks = getKeyStore("D:/Citificate/testKey/test.keystore", "password");
            PrivateKey key = (PrivateKey) ks.getKey("*.test.com", "password".toCharArray());
            String encoded = encoder.encode(key.getEncoded());
            System.out.println("-----BEGIN RSA PRIVATE KEY-----");
            System.out.println(encoded);
            System.out.println("-----END RSA PRIVATE KEY-----");
            return key;
        } catch (Exception e) {
            return null;
        }
    }

    public static void main(String[] args) {
        getPrivateKey();
    }

}

执行方法后,将结果拷入新建的后缀名为:.key的文本文档

 

5、使用openssl将上一步生成的.key文件做.unsecure文件输出(nginx使用,使用.key.unsecure可以避免使用.key文件时每次访问都要输入密码,本套方案前后端加密该文件未使用)-前提是先安装openssl插件,不然cmd会报openssl命令错误

openssl rsa -in D:/Citificate/testKey/test.key -out D:/Citificate/testKey/test.key.unsecure

 

6、使用java工具类从密钥库导出pfx私钥:

package test;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.security.Key;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.util.Enumeration;

public class CreatePfx {
    /** 
     * 将keystore转为pfx
     * 
     * @param keyStoreFile 生成的文件名和路径
     * @param pfxPsw 密码
     * @param pfxFile 原文件路径及名称
     */
    public static void coverToPfx() throws Exception {
        String keyStoreFile = "D:/Citificate/testKey/test.keystore";
        String pfxPsw = "password";
        String pfxFile = "D:/Citificate/testKey/test.pfx";

        KeyStore inputKeyStore = null;
        FileInputStream input = null;
        FileOutputStream output = null;
        String keyAlias = "";
        try {
            inputKeyStore = KeyStore.getInstance("JKS");
            input = new FileInputStream(keyStoreFile);
            char[] password = null;
            if ((pfxPsw == null) || pfxPsw.trim().equals("")) {
                password = null;
            } else {
                password = pfxPsw.toCharArray();
            }
            inputKeyStore.load(input, password);
            KeyStore outputKeyStore = KeyStore.getInstance("PKCS12");
            outputKeyStore.load(null, pfxPsw.toCharArray());
            Enumeration enums = inputKeyStore.aliases();
            while (enums.hasMoreElements()) {
                keyAlias = (String) enums.nextElement();
                System.out.println("alias=[" + keyAlias + "]");
                if (inputKeyStore.isKeyEntry(keyAlias)) {
                    Key key = inputKeyStore.getKey(keyAlias, password);
                    Certificate[] certChain = inputKeyStore.getCertificateChain(keyAlias);
                    outputKeyStore.setKeyEntry(keyAlias, key, pfxPsw.toCharArray(), certChain);
                }
            }
            output = new FileOutputStream(pfxFile);
            outputKeyStore.store(output, password);
        } catch (Exception e) {
            System.out.println(e.getMessage());
        } finally {
            if (input != null) {
                try {
                    input.close();
                } catch (IOException e) {
                    System.out.println(e.getMessage());
                }
            }
            if (output != null) {
                try {
                    output.close();
                } catch (IOException e) {
                    System.out.println(e.getMessage());
                }
            }
        }
    }

}

 

以上证书已经可以适应安卓端-后台加密通信

方案:

1)安卓端使用cer或crt公钥加密,后台使用keystore解密

2)后台使用keystore签名,安卓端使用使用cer或crt公钥验签

 

ios还需要der和pem证书支持

7、使用openssl将cer类型公钥转换为ios能使用的der类型公钥:

openssl x509 -outform der -in D:/Citificate/testKey/test.cer -out D:/Citificate/testKey/test.der

 

8、使用openssl生成ios端验签所需pem文件:

openssl rsa -in D:/Citificate/testKey/test.key -pubout -out D:/Citificate/testKey/test.pem

 

详细的加解密及加签验签方案见:http://www.cnblogs.com/shindo/p/6349070.html

 

转载于:https://www.cnblogs.com/shindo/p/6346971.html

weixin_34392435
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数字证书生成
wzfgd的博客
03-08 1003
数字证书生成生成服务器端的私钥 openssl genrsa -des3 -out server.key 1024 注意: 执行上面的命令会提示输入码,用于加密私钥文件。可以使用下面的命令去除掉私钥文件的码保护: openssl rsa -in server.key -out server.key 生成服务端 CSR(Certificate Signing Request) openssl req -new -key server.key -out server.csr -co
数字证书应用综合揭秘(包括证书生成加密、解名、验签
风尘浪子
08-31 4353
在这篇文章里将为大家介绍数字证书生成使用过程,以及对数据进行加密、解名、验签的使用方式。非对称加密的情况下,在企业需要获取客户端数据时,可以把公钥向客户端公开,数据进行加密后,就算加密数据被涉取,在没有私钥的情况,数据内容都不会被破解,确保了数据的安全性。这时,只要企业保证私钥的保前提下,一个公钥可以向多个客户端进行公开用作数据传输加密。而数字名的应用场景有点相反,数字名是企业为客户端确认数据来源的准确性而提供的服务。一般应用于政府机关、行政部门、金融行业、资讯行业等企业的数据发布上。数据都是
必备基础:签验
LOOPY_Y的博客
04-23 5372
码学相关概念、签验概念、为什么需要/验签加密算法简介、签验相关API、签验代码实现
使用Openssl生成根证书CA以及发子证书
technologyleader的专栏
12-17 4297
openssl是当前非常流行的SSL码库工具,如果服务器或者网站需要使用https协议,就需要使用openssl工具生成证书。 之前在Windows上有用Perl编译过OpenSSL,这次项目上要搭一个https server需要用它来生成名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32dll文件夹中。 准备工作: 需要在系统系统配置文件中配置openssl.cnf的路径,后面生成证书时会用到。 下面.
openssl和keytool生成rsa钥及证书开发指南
u012361112的博客
04-30 3319
二、der编码与pem编码 我们使用程序代码或者openssl命令生成秘钥对时,会先在内存中生成数据,然后序列化到文件中。而数据序列化需要一种特定的编码格式——DER。DER 是distinguished encode rule 的简写,它是ASN.1编码标准的一种编码方式,该编码方式的输出是二进制而不是普通的文本。DER 编码二进制输出的文件将会是一个二进制文件。PEM是一个用来存储和发送码学key、证书和其他数据的文件格式的事实标准。许多使用ASN.1的码学标准(比如X.509和PKCS)都使用.
工具类(含keystore导出pfx)
weixin_34259159的博客
01-25 236
java代码如下: package sign; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.security.Key; import java.securi...
JAVA https双向验证案例,和生成keyStore文件的方法,https单向认证博文参考地址
小爷欣欣
06-11 5777
简单说下:https=http+ssl。因此在代码中就是在http的基础 上先初始化ssl证书的所有信息,二者事由很明显的界限的,在代码中都有讲解。先解释下keyStore和trutsStore是什么:通信双方分别拥有一个keystore和一个truststore,keystore用于存放自己的钥和公钥,truststore用于存放所有需要信任方的公钥。Java-JSSE-SSL/TLS编程代码...
RSA2--》+加密+解+验签
09-23
本文将详细讲解RSA算法的加密、解以及验签的过程,结合Java语言来实现这一系列操作,并涉及到证书的使用。 首先,我们需要理解RSA算法的基本原理。RSA算法基于两个大素数的乘积难以分解这一数学难题,生成...
Java 实现RSA 名/验签加密
01-02
`KeyPairGenerator`类用于生成公钥和私钥对,`Signature`类用于名和验签,`Cipher`类则用于加密和解。 3. 生成RSA钥对 使用`KeyPairGenerator`类可以生成RSA钥对。首先,实例化一个`KeyPairGenerator`对象...
支付宝RSA加密验签工具
07-27
**支付宝RSA加密验签工具详解** 在电子商务和移动支付领域,安全性是至关重要的。支付宝作为全球领先的支付平台,为了确保交易的安全性,采用了RSA非对称加密算法进行数据加密名验证。RSA是一种广泛应用于...
Java实现RSA加密,数字证书生成与验证(有搭Socket)
12-10
AB双方通信,A把需要传输的文件MD5值用自己的私钥生成数字名,连同明文用B的公钥加密后传送给B,B用私钥解验证数字名,并计算明文MD5值跟文的MD5值比较
Python3加密库Crypto的RSA名/验签实现方法实例
09-17
### Python3 加密库Crypto的RSA名/验签实现方法实例 #### 一、引言 本篇文章重点介绍如何利用Python3中的`Crypto`库实现RSA算法的加密以及名与验签功能。通过具体代码示例帮助读者理解并掌握...
cpp-OpenSSL一个健壮商用级功能齐全开放源代码的加密
08-16
5. **命令行工具**:如`openssl s_client`、`s_server`,用于测试SSL/TLS连接,以及`genrsa`、`req`等用于证书生成和管理。 在实际开发中,开发者通常会使用OpenSSL的API来实现以下功能: 1. **钥和证书的生成**...
字节流FileInputStream 详解
weixin_45650737的博客
02-25 1603
在java中InputStream是字节输入流,用来将文件中的数据读取到java程序中。 InputStream是所有字节输入流的顶层父类,是一个抽象类。实现了Closeable接口,也Closeable接口又拓展了AutoCloseable接口,因此所有InputStream及其子类都可以用于Java 7 新引入的带资源的try语句; 如果要用,需要使用类: FileInputStream,ObjectInputStream,ByteArrayInputStream FileInputStream :
C# 使用X509Certificate2获取数字证书信息对接联通沃支付
Luxin_NET的博客
10-24 4559
支付时回调地址作为参数传过去,支付完成后联通沃支付将页面重定向至你给他传的回调地址上,并携带参数,参数同样包括明文文,需要在我们的回调地址方法中进行验签和业务处理后,再重定向至自己网站的支付成功页面。在验签时,我们将对方传过来的参数按照第二步同样的方式,按参数列表的键的ASKII码排序并用管道符“|”拼接为字符(注意,要将参数列表中的signMsg名去除)。将要生成名的参数遍历成一个字符串,需根据参数名的ASKII码排序(一定要排,不然对方验签通不过),并使用管道符“|”拼接起来,例如。
X509证书认证原理
dandingwangzi的专栏
02-10 1634
X.509证书认证原理
x509证书验签方法,支持国证书
楞次定律
09-17 2533
项目场景: 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: @Override public void run() { bytes = mmInStream.read(buffer); mHandler.obta
X509证书以及相关java常用接口
学习不止境的博客
04-17 6410
例如,如果getNotAfter()返回的值是1649992800000,那么证书的过期日期是2023年4月14日23:59:59 GMT。例如,如果getNotBefore()返回的值是1618476000000,那么证书的生效日期是2021年4月15日00:00:00 GMT。例如,.pem格式的证书是以Base64编码的ASCII文本格式,.crt格式的证书通常是PEM编码的,而.cer格式的证书可以是DER编码或PEM编码。和之前的getIssueDn不同的是,前者是证书持有者,后者是证书颁发者。
JavaScript练手项目.zip
最新发布
08-15
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无积分,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于收集和整理资料耗费时间的酬劳
.net 证书签验
07-17
### 回答1: .NET证书签验是指使用.NET框架的相关类库来进行数字证书加密和验证操作。在过程中,首先需要获取证书的私钥,然后使用私钥对要加密的数据进行名,生成名后的数据。生成名数据可以与原始数据一起传输给接收方。 在验签过程中,接收方需要获取证书的公钥,并使用公钥对接收到的名数据进行验证。验证过程会对名数据和原始数据进行比对,如果两者一致,则验证通过,否则验证失败。 .NET提供了一些类库来处理证书的签验操作,主要包括X509Certificate2类和RSACryptoServiceProvider类。通过X509Certificate2类可以获得证书的私钥和公钥,RSACryptoServiceProvider类可以使用私钥进行名操作,使用公钥进行验证操作。 在进行操作时,可以使用RSACryptoServiceProvider的SignData方法对数据进行名,并指定名算法和哈希算法。生成名数据可以存储为字节数组或Base64字符串,用于传输。 在进行验签操作时,可以使用RSACryptoServiceProvider的VerifyData方法对接收到的名数据和原始数据进行验证。验证结果会返回一个布尔值,表示验证成功或失败。 总之,使用.NET进行证书的签验操作,可以确保数据的完整性和安全性,提供一种可靠的数据传输和验证机制。 ### 回答2: .NET证书签验是指使用.NET框架提供的相关功能对证书进行操作,包括验签两个过程。 是指使用私钥对某个消息进行加密生成数字名,以证明该消息的来源和完整性。首先,我们需要获取私钥所在的证书,并通过.NET中的CryptoAPI类库获取相关的私钥信息。然后,使用私钥对消息进行加密操作,生成数字名。过程中,一般还涉及到对消息进行哈希运算以确保消息的完整性。 验签是指使用公钥对收到的数字名和消息进行解和验证,以确认消息的来源和完整性。验签的过程中,我们需要获取公钥所在的证书,并通过.NET中的CryptoAPI类库获取相关的公钥信息。然后,使用公钥对数字名进行解操作,得到原始消息。接下来,对原始消息进行哈希运算,再与接收到的数字名进行对比,如果完全一致,则可以确认消息的来源和完整性。 在.NET框架中,我们可以使用System.Security.Cryptography命名空间下的相关类实现证书签验的功能。具体而言,可以使用RSACryptoServiceProvider类操作证书私钥和公钥,通过调用它的SignData方法进行操作,调用VerifyData方法进行验签操作。同时,还需要了解证书的获取、存储和管理等相关知识,比如使用X509Certificate2类获取证书信息。 总之,通过.NET框架提供的相关功能,我们可以方便地实现证书的签验操作,以确保消息的可靠性和完整性。 ### 回答3: 在.NET框架中,证书验签是一种常见的数据完整性和安全性保障机制。它基于公钥基础设施(PKI)体系,其中使用了数字证书对数据进行加密和验证。 在进行证书过程中,首先需要获取有效证书。我们可以通过在Windows证书存储中查找和选择合适的证书来完成此操作。然后,需要使用私钥对待的数据进行名。在.NET中,可以使用Cryptography命名空间下的相关类(如RSACryptoServiceProvider)来实现这一步骤。名过程使用私钥对数据进行哈希运算,然后将哈希值使用私钥进行加密生成数字名。最后,将数字名与原始数据一起发送给接收方。 在证书验签过程中,接收方首先需要获取证书的公钥。然后,需要使用公钥对数字名进行解,得到名的哈希值。接下来,接收方对原始数据进行哈希运算,与解得到的哈希值进行比较。如果二者相等,则表明数据的完整性和真实性得到验证,否则证明数据可能被篡改或伪造。 在.NET中,可以使用Cryptography命名空间下的相关类(如RSACryptoServiceProvider)来实现对数字名进行解和数据的哈希运算。在验证过程中,还可以通过对比证书的有效期、证书颁发者等信息来进一步确认证书的可信度。 总结而言,.NET框架提供了一套完善的API和类库,可以方便地实现证书验签操作。通过正确使用证书,可以保障数据的完整性和安全性,确保数据在传输和存储过程中不被篡改或伪造。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值