公鑰證書更新

A. 通過工行個人網上銀行辦理U盾證書下載時提示「96110102，公鑰錯誤」，如何處理

通過網銀使用U盾交易或下載證書時，如遇「96110102，公鑰錯誤或U盾證書未成功下載」提示，請您重新安裝U盾驅動程序、網上銀行安全控制項或更換其他電腦嘗試操作。
如無法解決，請您攜帶本人身份證件、開通網銀的銀行卡和U盾到任意營業網點讓工作人員幫您重新下載證書信息後使用。

B. SSL中，公鑰，私鑰，證書的後綴名都是些啥

SSL證書後綴
CSR – Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(當然還附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.做過iOS APP的朋友都應該知道是怎麼向蘋果申請開發者證書的吧.
KEY– 通常用來存放一個RSA 公鑰或者私鑰,並非X.509證書,編碼同樣的,可能是PEM,也可能是DER.
CRT– CRT應該是certificate的三個字母,其實還是證書的意思,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,大多數應該是PEM編碼。本站提供的CRT格式等同於CER,等同於PEM。
PEM – Privacy Enhanced Mail的縮寫，以文本的方式進行存儲。打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是編碼. 查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX伺服器偏向於使用這種編碼格式.
CER– 還是certificate,還是證書,常見於Windows系統,同樣的,可能是PEM編碼,也可能是DER編碼,大多數應該是DER編碼.
DER – Distinguished Encoding Rules的縮寫，以二進制方式進行存儲，文件結構無法直接預覽，查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows伺服器偏向於使用這種編碼格式.
PFX/P12 – predecessor of PKCS#12,對*nix伺服器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全？應該不會,PFX通常會有一個」提取密碼」,你想把裡面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼？
JKS – 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫」keytool」的工具,可以將PFX轉為JKS,當然了,keytool也能直接生成JKS。

C. 伺服器ssl證書公鑰什麼時候改變

公鑰（Public Key）與私鑰（Private Key）是通過公鑰演算法得到的一個密鑰對（即一個公鑰和一個私鑰），公鑰是密鑰對中公開的部分，私鑰則是非公開的部分。公鑰通常用於加密會話密鑰、驗證數字簽名，或加密可以用相應的私鑰解密的數據。通過這種演算法得到的密鑰對能保證在世界范圍內是唯一的。
SSL證書公鑰是隨著SSL證書簽發而產生的，一張證書對應一對公私鑰，公鑰是不會改變的。

D. 老師你好，在ssl證書中，cer是公鑰證書，key是私鑰證書，crt是證書鏈對嗎

一、SSL證書文件

如圖所示，就是一些SSL證書文件。上圖帶有root CA 字樣的證書文件就是根證書， 然後帶intermediate ca 字樣的就是中間證書文件， 最後一個 ssl servercertificate 字樣的證書即為證書文件。

了解認識SSL證書文件，才能更好的去安裝SSL證書。雖然大部分時候直接安裝證書文件，瀏覽器也會顯示安全，但是由於一些瀏覽器會自動補齊證書鏈，但是證書鏈缺失的話，一些手機端或者部分瀏覽器可能會報不安全的提醒，所以在安裝的時候建議安裝完整的證書文件，補齊證書鏈。

二、SSL證書格式

在SSL證書源文件中你會發現有很多格式。不同的web伺服器對於證書的格式是有要求的，接下來也帶大家了解下不同格式的證書文件。

PEM：- Privacy Enhanced Mail,打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是BASE64編碼.上述一般證書文件 ，中間證書和根證書，證書文件很多都是pem格式的。Apache和NIgnix伺服器偏向於使用這種編碼格式.

DER：這種格式也是常見的證書格式，跟pem類似，中間證書和根證書，證書文件很多都是DER的，Java和Windows伺服器偏向於使用這種編碼格式。

JKS ：jks是Java密鑰庫(KeyStore)比較常見的一種格式。一般可用通過cer 或者pem 格式的證書以及私鑰的進行轉化為jks格式，有密碼保護。所以它是帶有私鑰的證書文件，一般用戶tomcat環境的安裝

PFX：pfx格式的證書 也是由cer 或者pem格式的證書文件以及私鑰轉化而來，所以該證書文件也是帶有私鑰的證書文件，一般用於iis 環境的證書安裝。

E. 配置HTTPS，公鑰證書有效期短怎麼辦

根據Gworg官方公布，全球SSL證書最長持續時間設置為825天，所以有效時間短的，可以注冊時間長一些，一般是到期後直接重新注冊就可以了。

F. 什麼是公鑰證書

所謂的公鑰認證，實際上是使用一對加密字元串，一個稱為公鑰(public key)，任何人都可以看到其內容，用於加密；另一個稱為密鑰(private key)，只有擁有者才能看到，用於解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但根據公鑰來猜測密鑰卻十分困難。

ssh 的公鑰認證就是使用了這一特性。伺服器和客戶端都各自擁有自己的公鑰和密鑰。為了說明方便，以下將使用這些符號。

Ac 客戶端公鑰
Bc 客戶端密鑰
As 伺服器公鑰
Bs 伺服器密鑰

在認證之前，客戶端需要通過某種方法將公鑰 Ac 登錄到伺服器上。

認證過程分為兩個步驟。

會話密鑰(session key)生成
客戶端請求連接伺服器，伺服器將 As 發送給客戶端。
伺服器生成會話ID(session id)，設為 p，發送給客戶端。
客戶端生成會話密鑰(session key)，設為 q，並計算 r = p xor q。
客戶端將 r 用 As 進行加密，結果發送給伺服器。
伺服器用 Bs 進行解密，獲得 r。
伺服器進行 r xor p 的運算，獲得 q。
至此伺服器和客戶端都知道了會話密鑰q，以後的傳輸都將被 q 加密。
認證
伺服器生成隨機數 x，並用 Ac 加密後生成結果 S(x)，發送給客戶端
客戶端使用 Bc 解密 S(x) 得到 x
客戶端計算 q + x 的 md5 值 n(q+x)，q為上一步得到的會話密鑰
伺服器計算 q + x 的 md5 值 m(q+x)
客戶端將 n(q+x) 發送給伺服器
伺服器比較 m(q+x) 和 n(q+x)，兩者相同則認證成功

G. 公鑰證書是什麼，有什麼用，到期了該怎麼辦

公鑰證書，通常簡稱為證書，是一種數字簽名的聲明，它將公鑰的值綁定到持有對應私鑰的個人、設備或服務的身份。大多數普通用途的證書基於 X.509v3 證書標准。要了解關於公鑰加密的更多信息，請參閱資源：公用密鑰結構

H. 公鑰證書的證書使用

因為證書通常用來為實現安全的信息交換建立身份並創建信任，所以證書頒發機構 (CA) 可以把證書頒發給人員、設備（例如計算機）和計算機上運行的服務（例如 IPSec）。
某些情況下，計算機必須能夠在高度信任涉及交易的其他設備、服務或個人的身份的情況下進行信息交換。某些情況下，人們需要在高度信任涉及交易的其他設備、服務或個人的身份的情況下進行信息交換。運行在計算機上的應用程序和服務也頻繁地需要確認它們正在訪問的信息來自可信任的信息源。
當兩個實體（例如設備、個人、應用程序或服務）試圖建立身份和信任時，如果兩個實體都信任相同的證書頒發機構，就能夠在它們之間實現身份和信任的結合。一旦證書主題已呈現由受信任的 CA 所頒發的證書，那麼，通過將證書主題的證書存儲在它自己的證書存儲區中，並且（如果適用）使用包含在證書中的公鑰來加密會話密鑰以便所有與證書主題隨後進行的通訊都是安全的，試圖建立信任的實體就可以繼續進行信息交換，。
例如，使用 Internet 進行聯機銀行業務時，知道您的 Web 瀏覽器正在與銀行的 Web 伺服器直接和安全地通訊就是很重要的。在發生安全的交易之前，您的 Web 瀏覽器必須能夠簽定 Web 伺服器的身份。就是說，進行交易之前，Web 伺服器必須能夠向您的 Web 瀏覽器證明它的身份。Microsoft Internet Explorer 使用安全套接字層 (SSL) 來加密消息並在 Internet 上安全地傳輸它們，而大多數其他新式 Web 瀏覽器和 Web 伺服器也使用該技術。
當您使用啟用 SSL 的瀏覽器連接到聯機銀行的 Web 伺服器時，如果該伺服器擁有證書頒發機構（例如 Verisign）頒發的伺服器證書，那麼將發生如下事件：
您使用 Web 瀏覽器訪問銀行的安全聯機銀行登錄網頁。如果使用的是 Internet Explorer，一個鎖形圖標將出現在瀏覽器狀態欄的右下角，以表示瀏覽器連接到的是安全 Web 站點。其他瀏覽器以其他方式表示安全連接。
銀行的 Web 伺服器將伺服器證書自動地發送到您的 Web 瀏覽器。
為了驗證 Web 伺服器的身份，您的 Web 瀏覽器將檢查您計算機中的證書存儲區。如果向銀行頒發證書的證書頒發機構是可信任的，則交易可以繼續，並且將把銀行證書存儲在您的證書存儲區中。
要加密與銀行 Web 伺服器的所有通訊，您的 Web 瀏覽器可創建唯一的會話密鑰。您的 Web 瀏覽器用銀行 Web 伺服器證書來加密該會話密鑰，以便只有銀行 Web 伺服器可以讀取您的瀏覽器所發送的消息。（這些消息中的一部分將包含您的登錄名和密碼以及其他敏感信息，所以該等級的安全性是必需的。）
建立安全會話，並且在您的 Web 瀏覽器和銀行的 Web 伺服器之間以安全方式發送敏感信息。
詳細信息，請參閱證書安全性
當您將軟體代碼從 Internet 下載、從公司 intranet 上安裝、或者購買光碟並安裝在計算機上時，還可以用證書來確認在這些軟體代碼的真實性。無簽名軟體（沒有有效的軟體發布商證書的軟體）可以威脅到計算機和存儲在計算機上的信息。
如果用信任的證書頒發機構所頒發的有效證書對軟體進行了簽名，您就知道軟體代碼沒有被篡改，可以安全安裝在計算機上。在軟體安裝期間，系統會提示您確認是否信任軟體製造商（例如，Microsoft Corporation）。您還可以看到其他選項，問您是否始終信任來自特定軟體製造商的軟體內容。如果您選擇信任該製造商的內容，那麼他們的證書將存入您的證書存儲區，並且它們的其他軟體產品就可以在預定義的信任環境下安裝到您的計算機。在預定義信任的環境中，您可以安裝製造商的軟體，而不會被提示是否信任它們，因為您的計算機上的證書已聲明您信任該軟體的製造商。
與其他證書一樣，這些用來確認軟體真實性和軟體發布商身份的證書可還以用於其他目的。例如，如果把「證書」管理單元設置為按目的查看證書，則「代碼簽名」文件夾可能包含由 Microsoft Root Authority 頒發給 Microsoft Windows Hardware Compatibility 的證書。這個證書有三個目的：
確保軟體來自該軟體發布商
保護軟體在發布之後不發生改變
提供 Windows 硬體驅動程序確認

I. 公鑰證書的證書管理單元

可以使用證書管理單元來管理用戶、計算機或服務的證書。
用戶和管理員可使用證書管理單元向 Windows 2000 企業證書頒發機構申請新證書。另外，用戶還可以從證書存儲區查找、查看、導入和導出證書。但是在大多數情況下，用戶不必親自管理他們的證書和證書存儲區。而是通過管理員、策略設置以及使用證書的程序來完成。
管理員是「證書」管理單元的主要用戶，同樣，他們能夠在其個人證書存儲區，以及那些他們有權管理的計算機或服務的證書存儲區中，執行多種證書管理任務。

J. 關於工行U盾下載證書公鑰錯誤的問題 請幫解決 快崩潰了

工行的U盾兼容ie6.0 、7.0、8.0.系統版本Windows XP SP3,你只要重裝這兩樣就行了，然後接下來在網上搜索一個（工行網銀助手）來安裝客戶端程序和U盾驅動，有了工行網銀助手你就不愁了，它是自動檢查安裝環境，自動安裝，自動優化IE設置和電腦環境，連安裝光碟都不用了。我也是自己摸索搞了3天才好了。你不能用的原因主要是IE的設置不對，在重裝瀏覽器是讓他自行安裝，別修改它的設置，讓它自動安裝就行了。