证书我们平时可能听的比较多,实际接触的较少,这里先给大家分享一下,我在接触证书过程中了解的一些知识。
首先这就涉及到密码算法中的几个概念,对称加密、非对称加密、公钥、私钥、签名验签等,不了解的小伙伴可以自己百度科普一下。证书的基础就是非对称加密算法,里面有两个概念,一个是公钥,一个是私钥。通俗点说证书,就是权威机构给公钥背书的一种产物,是通过非对称加密算法。给公钥证明的一种方法。如果深入了解还可以更细,比如签名证书,加密证书。
而密码算法中有主要有两种场景,一种是我们国内的,一种是国际的,通常我们公司项目现在要求大家使用的都是国密算法。常用的有SM2,SM3,SM4等。其中一种是非对称密码学,一种是基于哈希的,一种是速度比较快的对称称的。
这里不能完全介绍完,回归重点,本文章主要是介绍不同证书格式
## 证书格式
* P7B
* DER(乱码不可读)
* PEM(DER经过BASE64编码的)
其中P7B是带有CA签名的证书链的(大小大概是4K+证书链4K)。文件会不PEM大一些,证书里面都有签名值、主题、算法、根据不同模板还有一些扩展字段,具体大小不定,看内容的多少及算法都有影响。CA有自己的规范。请阅读P7S的PEM格式。CA有许多许多不同的证书格式,例如PFX,P12等等。
所以我们可以根据我们各自的使用场景,确定是不是要带证书链的,还是只需要简单的证书签名值的。
## 签名证书
由用户的芯片Ukey生成一对公私钥对,私钥保存,公钥、签名值、主题给到CA机构,CA机构验证企业或者个人身份,并对公钥签名,生成一张证书,返回给申请人或机构。业务通过集成签名证书的能接口功能,将需要签名的内容调用接口,由签名证书完成签名。
## 加密证书
由CA公司向KM中心申请一对加密密钥对,由CA公司对公钥信息生成一张证书,返回过程中有加密信封,和加密证书,加密信封就是私钥,其中私钥(信封)是经过处理的,通过了一个SM4加密,同事用签名密钥对SM4加密了,收到后要先对SM4解密,拿到SM4明文后再用SM4解密出私钥原文。
## 总结
原理上:公钥进行加密,私钥解密,私钥签名,公钥验签,使用场景上就是看为了保护用户隐私还是为了证明内容未被篡改过。不需要进行任何额外的管理。只有通过生成加密密钥对并验证证书的机制。本质是非对称加解密算法。就看如何使用。
扩展推荐关键词:KPI,IBC。
3387
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
