證書加密原理

1. 數字證書的工作原理

數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按當下計算機技術水平，要破解1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送給商戶，然後由商戶用自己的私有密鑰進行解密。
用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點：
保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認。
保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。

2. ssl證書的工作原理

SSL證書的工作原理:

客戶端向伺服器請求HTTPS連接

客戶端向伺服器傳送客戶端SSL協議的版本號，加密演算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種信息。

伺服器確認並返回證書

伺服器向客戶端傳送SSL 協議的版本號，加密演算法的種類，隨機數以及其他相關信息，同時伺服器還將向客戶端傳送自己的證書。

客戶端驗證伺服器發來的證書

客戶端利用伺服器傳過來的信息驗證伺服器的合法性，伺服器的合法性包括：證書是否過期，發行伺服器證書的CA 是否可靠，發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」，伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開;如果驗證通過，將繼續進行。

信息驗證通過，客戶端生成隨機密鑰A，用公鑰加密後發給伺服器

從第③步驗證過的證書裡面可以拿到伺服器的公鑰，客戶端生成的隨機密鑰就使用這個公鑰來加密，加密之後，只有擁有該伺服器(持有私鑰)才能解密出來，保證安全。

伺服器用私鑰解密出隨機密鑰A，以後通信就用這個隨機密鑰A來對通信進行加密

這個握手過程並沒有將驗證客戶端身份的邏輯加進去。因為在大多數的情況下，HTTPS只是驗證伺服器的身份而已。如果要驗證客戶端的身份，需要客戶端擁有證書，在握手時發送證書，而這個證書是需要成本的。

3. 證書加密系統的概念，原理

你的數據出去的時候都有加密而且按照證書加密的演算法
然後到伺服器之後也按照相同的規則進行解密
這個時候你的數據如果在途被人偷也沒有關系
他得到的數據都是被加密過的
而且他通常不知道加密這個文件的演算法是如何的
故無法解密
但是你的數據到伺服器被解密之後數據又變成了和你輸入的內容相同.

4. SSL證書的認證原理

安全套接字層(SSL) 技術通過加密信息和提供鑒權，保護您的網站安全。一份 SSL 證書包括一個公內共密鑰和一個私用容密鑰。公共密鑰用於加密信息，私用密鑰用於解譯加密的信息。瀏覽器指向一個安全域時，SSL 同步確認伺服器和客戶端，並創建一種加密方式和一個唯一的會話密鑰。它們可以啟動一個保證消息的隱私性和完整性的安全會話。
SSL的工作原理中包含如下三個協議。
握手協議（Handshake protocol）
記錄協議（Record protocol）
警報協議（Alert protocol） 記錄協議在客戶機和伺服器握手成功後使用，即客戶機和伺服器鑒別對方和確定安全信息交換使用的演算法後，進入SSL記錄協議，記錄協議向SSL連接提供兩個服務：
（1）保密性：使用握手協議定義的秘密密鑰實現
（2）完整性：握手協議定義了MAC，用於保證消息完整性 客戶機和伺服器發現錯誤時，向對方發送一個警報消息。如果是致命錯誤，則演算法立即關閉SSL連接，雙方還會先刪除相關的會話號，秘密和密鑰。每個警報消息共2個位元組，第1個位元組表示錯誤類型，如果是警報，則值為1，如果是致命錯誤，則值為2；第2個位元組制定實際錯誤類型。

5. SSL工作原理，SSL加密原理，SSL證書怎麼加密

SSL是一個安全協議,它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。

在客戶端與伺服器間專傳輸的數據是通過使用對屬稱演算法（如 DES 或 RC4）進行加密的。公用密鑰演算法（通常為 RSA）是用來獲得加密密鑰交換和數字簽名的，此演算法使用伺服器的SSL數字證書中的公用密鑰。有了伺服器的SSL數字證書，客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和伺服器的數字證書。

6. 請問SSL證書的原理是什麼，誰能介紹下

SSL證書通過在客戶端瀏覽器和Web伺服器之間建立一條SSL安全通道（Secure socket layer(SSL)安 SSL證書全協議是由Netscape Communication公司設計開發。該安全協議主要用來提供對用戶和伺服器的認證；對傳送的數據進行加密和隱藏；確保數據在傳送中不被改變，即數據的完整性，現已成為該領域中全球化的標准。由於SSL技術已建立到所有主要的瀏覽器和WEB伺服器程序中，因此，僅需安裝伺服器證書就可以激活該功能了）。即通過它可以激活SSL協議，實現數據信息在客戶端和伺服器之間的加密傳輸，可以防止數據信息的泄露。保證了雙方傳遞信息的安全性，而且用戶可以通過伺服器證書驗證他所訪問的網站是否是真實可靠。SSL證書安全認證的原理

安全套接字層 (SSL) 技術通過加密信息和提供鑒權，保護您的網站安全。一份 SSL 證書包括一個公共密鑰和一個私用密鑰。公共密鑰用於加密信息，私用密鑰用於解譯加密的信息。瀏覽器指向一個安全域時，SSL 同步確認伺服器和客戶端，並創建一種加密方式和一個唯一的會話密鑰。它們可以啟動一個保證消息的隱私性和完整性的安全會話。

7. ssl證書的加密演算法

非對稱加密演算法：RSA，DSA/DSS

對稱加密演算法：AES，RC4，3DES

HASH演算法：MD5，SHA1，SHA256

8. PDF證書的運作原理是什麼

目前，PDF 文檔的使用愈來愈廣泛，已成為重要的文檔轉換格式之一。而通過互聯網發布的 PDF 文檔亦有風雨欲來之勢，但隨之而來的安全問題也漸已浮出水面。那麼如何防止網路傳輸中的 PDF 文檔內容被未授權的人所窺視呢？

PDF證書可以解決這一問題。使用 PDF證書可以進行身份簽名或確認簽名，簽名後的文檔可以向用戶證實 PDF 文檔簽署人的真實身份，簽署人的真實身份是通過權威的第三方進行審核並確認，這樣便保護了 PDF 文檔在傳輸的過程中沒有被非法篡改，從而使得簽名後的 PDF 文檔可以安全可靠的用於企業之間電子文檔交換和電子合同簽署。

關於數字簽名
「數字簽名」類似於傳統的手寫簽名，表示某人已在文檔上簽名。文檔作者可以通過添加驗證簽名，證明他們文檔的內容。數字簽名要驗證作者的身份還包含一些個人信息。與手寫簽名不同，數字簽名難以偽造是因為其包含作者唯一的加密信息並容易驗證。

使用數字證書簽名 PDF 文檔
若要簽名文檔，作者必須要獲得數字證書。數字證書就像身份證、駕照或護照一樣，它為與作者進行電子聯絡的人或機構提供身份驗證。數字證書中通常包含作者的姓名和電子郵件地址、頒發數字證書公司的名稱、序列號和有效期。數字證書包括兩類鑰匙：公鑰（加密或驗證簽名）和私鑰（解密或簽名）。當簽名 PDF 文檔時，作者使用私鑰應用數字簽名。作者可以分發包含公鑰和其它識別信息的「證書」給需要驗證作者的簽名、身份或為作者加密信息的人。僅作者的私鑰可以解除鎖定使用作者的證書加密的信息，因此請確保在安全的地方存儲數字證書。作者需要數字證書才能簽名、驗證和應用證書加密至 PDF 文檔。可以從第三方簽名提供商（比如 GlobalSign）獲取數字證書，也可以創建自簽名數字證書。在大多數商業交易中要證明作者的身份，可能需要來自信任的第三方提供商（稱為「證書頒發機構」，比如 GlobalSign）的數字證書。因為證書頒發機構有責任為其他人驗證作者的身份，請選擇被大多數在網際網路上進行經營的公司所信任的一家機構。作者可以有多個用於不同目的的數字證書，例如，作者需要用不同的角色或驗證方法簽名文檔。數字證書通常受口令保護並以 PKCS#12 文件格式儲存在計算機上、智能卡上、硬體令牌設備上、在 Windows 證書存儲區中或在簽名伺服器上（用於漫遊證書）。

GlobalSign PDF證書的特點與優勢

• 啟用 PDF 安全 - 保證重要文檔的真實性、完整性和有效性，包括文件的完整性、著作權以及時間戳。
• 無須安裝插件或軟體 - 被 Adobe Acrobat 和 Adobe Reader 默認所信任，不需要安裝任何插件或第三方軟體。
• 基於網路或伺服器應用 - 基於網路和伺服器的文檔身份簽名和確認簽名解決方案符合所有企業的需求。
• RFC 361 標准 - 符合 RFC 361 標準的權威可依賴且不可抵賴的時間戳服務。
• 簽名認證 - 使用 PDF證書可以進行：證實簽名，證實簽名人的真實身份。
• 審批簽字 - 使用 PDF證書可以進行：確認簽名，工作流程電子文檔或電子合同的簽署。
• 支持多語言版本 - 支持多國語言版本，通行全球。
• WebTrust 專業認證 - 通過 WebTrust 認證的 CA 證書核發公司 GlobalSign 的全方位數字證書技術支持。

GlobalSign 目前提供兩種類型的 PDF證書，分別為 Adobe PDF 個人文檔簽名證書和 Adobe PDF 企業部門文檔簽名證書。

Adobe PDF 個人文檔簽名證書為企業員工個人設計的基於應用系統 PDF 文檔證實簽名和確認簽名的解決方案，作者可以使用 Adobe Acrobat 軟體和存放在 SafeNet FIPS 140-1 第二級 USB Key 中的數字證書對 PDF 文檔進行簽名。

Adobe PDF 企業部門文檔簽名證書為企業部門設計的基於應用系統 PDF 文檔證實簽名和確認簽名的解決方案，作者可以使用 Adobe Acrobat 軟體和存放在 SafeNet FIPS 140-1 第二級 USB Key 中的數字證書對 PDF 文檔進行簽名。

此外 GlobalSign 數字證書服務提供了包含：域名型 SSL 證書 (DVSSL) 、 企業型 SSL 證書 (OVSSL) 、 增強型 SSL 證書 (EVSSL) 、通配符 SSL 證書 、 SANs SSL 證書等服務。

9. 數字證書的工作原理是什麼

數字證書認證中心（Certficate Authority,CA）就是一個負責發放和管理數字證書的權威機構。對於一個大型的應用環境，認證中心往往採用一種多層次的分級結構，各級的認證中心類似於各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。
數字安全證書利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。
用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點：
(1) 保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；
(2) 保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。

10. 數字證書(SSL)的工作原理

SSL工作原理
2007-03-08 22:15
SSL 是一個安全協議，它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。網際網路的 超文本傳輸協議 （HTTP）使用 SSL 來實現安全的通信。
在客戶端與伺服器間傳輸的數據是通過使用對稱演算法（如 DES 或 RC4）進行加密的。公用密鑰演算法（通常為 RSA）是用來獲得加密密鑰交換和數字簽名的，此演算法使用伺服器的SSL數字證書中的公用密鑰。有了伺服器的SSL數字證書，客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和伺服器的數字證書。
SSL 握手
SSL 連接總是由客戶端啟動的。在SSL 會話開始時執行 SSL 握手。此握手產生會話的密碼參數。關於如何處理 SSL 握手的簡單概述，如下圖所示。此示例假設已在 Web 瀏覽器 和 Web 伺服器間建立了 SSL 連接。
圖 SSL的客戶端與伺服器端的認證握手

(1) 客戶端發送列出客戶端密碼能力的客戶端「您好」消息（以客戶端首選項順序排序），如 SSL 的版本、客戶端支持的密碼對和客戶端支持的數據壓縮方法。消息也包含 28 位元組的隨機數。
(2) 伺服器以伺服器「您好」消息響應，此消息包含密碼方法（密碼對）和由伺服器選擇的數據壓縮方法，以及會話標識和另一個隨機數。
注意:客戶端和伺服器至少必須支持一個公共密碼對，否則握手失敗。伺服器一般選擇最大的公共密碼對。
(3) 伺服器發送其SSL數字證書。（伺服器使用帶有 SSL 的 X.509 V3 數字證書。）
如果伺服器使用 SSL V3，而伺服器應用程序（如 Web 伺服器）需要數字證書進行客戶端認證，則客戶端會發出「數字證書請求」消息。在 「數字證書請求」消息中，伺服器發出支持的客戶端數字證書類型的列表和可接受的CA的名稱。
(4) 伺服器發出伺服器「您好完成」消息並等待客戶端響應。
(5) 一接到伺服器「您好完成」消息，客戶端（ Web 瀏覽器）將驗證伺服器的SSL數字證書的有效性並檢查伺服器的「你好」消息參數是否可以接受。
如果伺服器請求客戶端數字證書，客戶端將發送其數字證書；或者，如果沒有合適的數字證書是可用的，客戶端將發送「沒有數字證書」警告。此警告僅僅是警告而已，但如果客戶端數字證書認證是強制性的話，伺服器應用程序將會使會話失敗。
(6) 客戶端發送「客戶端密鑰交換」消息。此消息包含 pre-master secret （一個用在對稱加密密鑰生成中的 46 位元組的隨機數字），和 消息認證代碼 （ MAC ）密鑰（用伺服器的公用密鑰加密的）。
如果客戶端發送客戶端數字證書給伺服器，客戶端將發出簽有客戶端的專用密鑰的「數字證書驗證」消息。通過驗證此消息的簽名，伺服器可以顯示驗證客戶端數字證書的所有權。
注意: 如果伺服器沒有屬於數字證書的專用密鑰，它將無法解密 pre-master 密碼，也無法創建對稱加密演算法的正確密鑰，且握手將失敗。
(7) 客戶端使用一系列加密運算將 pre-master secret 轉化為 master secret ，其中將派生出所有用於加密和消息認證的密鑰。然後，客戶端發出「更改密碼規范」 消息將伺服器轉換為新協商的密碼對。客戶端發出的下一個消息（「未完成」的消息）為用此密碼方法和密鑰加密的第一條消息。
(8) 伺服器以自己的「更改密碼規范」和「已完成」消息響應。
(9) SSL 握手結束，且可以發送加密的應用程序數據。

天威誠信CA數字認證中心