多公鑰證書

『壹』 公鑰證書的在組織中的證書使用

很多組織安裝有自己的證書頒發機構，並將證書頒發給內部的設備、服務和雇員，以創建更安全的計算環境。大型組織可能有多個證書頒發機構，它們被設置在指向某個根證書頒發機構的分層結構中。這樣，雇員的證書存儲區中就可能有多個由各種內部證書頒發機構所頒發的證書，而所有這些證書頒發機構均通過到根證書頒發機構的證書路徑共享一個信任連接。
當雇員利用虛擬專用網路 (VPN) 從家裡登錄到組織的網路時，VPN 伺服器可以提供伺服器證書以建立起自己的身份。因為公司的根頒發機構被信任，而公司根證書頒發機構頒發了 VPN 伺服器的證書，所以，客戶端計算機可以使用該連接，並且雇員知道其計算機實際上連接到組織的 VPN 伺服器。
在數據可以經過 VPN 連接進行交換之前，VPN 伺服器還必須能夠驗證 VPN 客戶端的身份。或者通過交換計算機證書發生計算機級別的身份驗證，或者通過使用點對點協議 (PPP) 身份驗證方法，發生用戶級別的身份驗證。對於 L2TP（第二層隧道協議）/IPSec 連接，客戶端和伺服器雙方均需要計算機證書。
客戶端計算機證書可以服務於多個目的，這些目的大多數是基於身份驗證的，這就允許客戶端使用很多組織的資源，而不需要為每個資源分別准備證書。例如，客戶端證書可能允許 VPN 連接，還允許訪問公司存儲 intranet 網站、產品伺服器以及存儲雇員數據的人力資源資料庫。
VPN 伺服器證書還可能服務於多個目的。相同的證書可能各種目的：確認電子郵件伺服器、Web伺服器或者應用程序伺服器的身份。頒發證書的證書頒發機構決定每個證書的用途數目。

『貳』 公鑰證書的介紹

公鑰證書，通常簡稱為證書，是一種數字簽名的聲明，它將公鑰的值綁定到持有對應私鑰的個人、設備或服務的身份。大多數普通用途的證書基於 X.509v3 證書標准。要了解關於公鑰加密的更多信息，請參閱資源：公用密鑰結構。

『叄』 什麼是公鑰證書

所謂的公鑰認證，實際上是使用一對加密字元串，一個稱為公鑰(public key)，任何人都可以看到其內容，用於加密；另一個稱為密鑰(private key)，只有擁有者才能看到，用於解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但根據公鑰來猜測密鑰卻十分困難。

ssh 的公鑰認證就是使用了這一特性。伺服器和客戶端都各自擁有自己的公鑰和密鑰。為了說明方便，以下將使用這些符號。

Ac 客戶端公鑰
Bc 客戶端密鑰
As 伺服器公鑰
Bs 伺服器密鑰

在認證之前，客戶端需要通過某種方法將公鑰 Ac 登錄到伺服器上。

認證過程分為兩個步驟。

會話密鑰(session key)生成
客戶端請求連接伺服器，伺服器將 As 發送給客戶端。
伺服器生成會話ID(session id)，設為 p，發送給客戶端。
客戶端生成會話密鑰(session key)，設為 q，並計算 r = p xor q。
客戶端將 r 用 As 進行加密，結果發送給伺服器。
伺服器用 Bs 進行解密，獲得 r。
伺服器進行 r xor p 的運算，獲得 q。
至此伺服器和客戶端都知道了會話密鑰q，以後的傳輸都將被 q 加密。
認證
伺服器生成隨機數 x，並用 Ac 加密後生成結果 S(x)，發送給客戶端
客戶端使用 Bc 解密 S(x) 得到 x
客戶端計算 q + x 的 md5 值 n(q+x)，q為上一步得到的會話密鑰
伺服器計算 q + x 的 md5 值 m(q+x)
客戶端將 n(q+x) 發送給伺服器
伺服器比較 m(q+x) 和 n(q+x)，兩者相同則認證成功

『肆』 如何：導出和導入公鑰證書

此過程說明如何輕松設置加密示例。方法是從「我的證書」存儲中導出公鑰證書，而不導出私鑰，然後將該公鑰證書導入「通訊簿」證書存儲。要設置以下示例，請先按照該示例主題中的設置說明操作。這些說明建議使用此主題中的步驟將一個或多個生成的公鑰證書放入「通訊簿」證書存儲。 如何：為一個收件人封裝郵件 如何：為多個收件人封裝郵件 如何：簽名和封裝郵件要在一台計算機上運行上面的示例，需要滿足下列條件：「通訊簿」證書存儲和「我的證書」存儲中均包含郵件收件人的密鑰證書該計算機上有郵件收件人的私鑰且與「我的證書」存儲中的公鑰證書關聯示例先充當加密郵件的發件人，然後充當同一個加密郵件的收件人。通常，這兩個角色是由不同計算機上具有唯一公鑰憑據的不同實體充當。在充當加密郵件的發件人時，示例要求「通訊簿」證書存儲中包含收件人的證書。在充當加密郵件的收件人時，示例要求「我的證書」存儲中包含收件人的證書，並且該計算機上包含相應的私鑰。使用Makecert.exe 實用程序設置此示例，可以通過多種方法實現此目的。 Certificate Creation Tool (Makecert.exe) 是用於生成測試證書的一種很方便的實用程序。在生產環境中，證書由證書頒發機構生成。以下Makecert 命令生成所需的公鑰證書以及證書使用者名稱為「Recipient1」的實體的私鑰。證書將放入「我的證書」存儲。Makecert -n "CN=Recipient1" -ss My 以下過程說明如何設置證書存儲來滿足這些要求。首先，生成收件人的證書和私鑰，並將證書存儲在「我的證書」存儲中。然後將證書從「我的證書」存儲中導出，再導入「通訊簿」存儲。從「我的證書」存儲中導出公鑰證書打開Internet Explorer。在「工具」菜單上，單擊「Internet 選項」，然後單擊「內容」選項卡。單擊「證書」按鈕。在「個人」選項卡中，選擇「頒發給」下列出「Recipient1」的證書。（「個人」選項卡列出「我的證書」存儲中的證書。）單擊「導出」。（此時會打開導出向導。）單擊「下一步」。 單擊「否，不要導出私鑰」，然後單擊「下一步」。單擊「下一步」接受默認導出格式。鍵入要導出的證書的文件名或瀏覽至該文件名，單擊「下一步」，然後單擊「完成」。將證書導入「通訊簿」證書存儲在「證書」對話框中，單擊「其他人」選項卡。（「其他人」選項卡列出「通訊簿」證書存儲中的證書。）單擊「導入」，然後單擊「下一步」。鍵入要存儲導出證書的文件名的位置或瀏覽至該位置，然後單擊「下一步」。單擊「下一步」接受將導入的證書放入「其他人」證書存儲。單擊「完成」，然後單擊「確定」。

『伍』 SSL中，公鑰，私鑰，證書的後綴名都是些啥

SSL證書後綴
CSR – Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(當然還附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.做過iOS APP的朋友都應該知道是怎麼向蘋果申請開發者證書的吧.
KEY– 通常用來存放一個RSA 公鑰或者私鑰,並非X.509證書,編碼同樣的,可能是PEM,也可能是DER.
CRT– CRT應該是certificate的三個字母,其實還是證書的意思,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,大多數應該是PEM編碼。本站提供的CRT格式等同於CER,等同於PEM。
PEM – Privacy Enhanced Mail的縮寫，以文本的方式進行存儲。打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是編碼. 查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX伺服器偏向於使用這種編碼格式.
CER– 還是certificate,還是證書,常見於Windows系統,同樣的,可能是PEM編碼,也可能是DER編碼,大多數應該是DER編碼.
DER – Distinguished Encoding Rules的縮寫，以二進制方式進行存儲，文件結構無法直接預覽，查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows伺服器偏向於使用這種編碼格式.
PFX/P12 – predecessor of PKCS#12,對*nix伺服器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全？應該不會,PFX通常會有一個」提取密碼」,你想把裡面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼？
JKS – 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫」keytool」的工具,可以將PFX轉為JKS,當然了,keytool也能直接生成JKS。

『陸』 公鑰證書的證書和應用程序

大多數電子郵件客戶端允許您自動地簽名或加密電子郵件，或者分別地加密或簽名郵件。允許數字簽名或加密電子郵件消息的 Microsoft 應用程序是 Microsoft Outlook 2000、Microsoft Outlook Express 和 Microsoft Outlook 98。
許多 Windows 應用程序都使用證書。下面是一些關於 Microsoft Internet 信息伺服器 (IIS) 5.1、Microsoft Outlook 2000、Microsoft Outlook Express、Microsoft Outlook 98 和 Microsoft Internet Explorer 如何利用證書的鏈接和相關信息。
Internet 信息服務 5.1 證書信息
IIS 證書存儲現在與 CryptoAPI 存儲集成在一起。證書管理單元提供了可讓管理員存儲、備份和配置伺服器證書的單一入口點。
IIS 當前帶有三個新的安全任務向導，這些向導可以簡化多數可維護網站安全的安全任務。您可以使用 Web 伺服器證書向導管理 IIS 和伺服器證書中的安全套接字層 (SSL) 功能。證書的用途在於為伺服器和用戶瀏覽器之間建立起安全連接。您可以使用 CTL 向導管理證書信任列表 (CTLs)。證書信任列表列出了每個網站或虛擬目錄的受信任的證書頒發機構。您也可以使用 IIS 許可權向導將 Web 和 NTFS 訪問許可權分配到伺服器上的網站、虛擬目錄和文件。

『柒』 公鑰證書的證書

可以為各種功能頒發證書，例如 Web 用戶身份驗證、Web 伺服器身份驗證、安全電子郵件（安全/多用途 Internet 郵件擴展 (S/MIME)）、Internet 協議安全 (IPSec)、傳輸層安全 (TLS)以及和代碼簽名。證書還可以從一個證書頒發機構(CA) 頒發給另一個證書頒發機構，以便創建證書層次結構。
接收證書的實體是證書的「主題」。證書的頒發者和簽名者是證書頒發機構。
通常，證書包含以下信息：
主體的公鑰值
主體標識符信息（如名稱和電子郵件地址）
有效期（證書的有效時間）
頒發者標識符信息
頒發者的數字簽名，用來證實主題的公鑰和主題的標識符信息之間綁定關系的有效性
證書只有在指定的期限內才有效；每個證書都包含有效期的起止日期，它們是有效期的界限。一旦到了證書的有效期，到期證書的主題就必須申請一個新的證書。
某些情況下有必要撤消證書中所聲明的綁定關系，這時，可以由頒發者吊銷該證書。每個頒發者維護一個證書吊銷列表，程序可以使用該列表檢查任意給定證書的有效性。
證書的主要好處之一是主機不必再為單個主題維護一套密碼，這些單個主題進行訪問的先決條件的是需要通過身份驗證。相反，主機只需在證書頒發者中建立信任。
當主機（如安全 Web 伺服器）指派某個頒發者為受信任的根頒發機構時，主機實際上是信任該頒發者過去常用來建立所頒發證書的綁定關系的策略。事實上，主機信任頒發者已經驗證了證書主體的身份。主機通過將包含頒發者公鑰的頒發者自簽名證書放到主機的受信任根證書頒發機構的證書存儲區，將該頒發者指定為受信任的根頒發機構。中間的或從屬的證書頒發機構受到信任的條件是，他們擁有受信任根證書頒發機構的有效證書路徑。
有關證書的詳細信息，請參閱理解證書。

『捌』 公鑰證書的證書使用

因為證書通常用來為實現安全的信息交換建立身份並創建信任，所以證書頒發機構 (CA) 可以把證書頒發給人員、設備（例如計算機）和計算機上運行的服務（例如 IPSec）。
某些情況下，計算機必須能夠在高度信任涉及交易的其他設備、服務或個人的身份的情況下進行信息交換。某些情況下，人們需要在高度信任涉及交易的其他設備、服務或個人的身份的情況下進行信息交換。運行在計算機上的應用程序和服務也頻繁地需要確認它們正在訪問的信息來自可信任的信息源。
當兩個實體（例如設備、個人、應用程序或服務）試圖建立身份和信任時，如果兩個實體都信任相同的證書頒發機構，就能夠在它們之間實現身份和信任的結合。一旦證書主題已呈現由受信任的 CA 所頒發的證書，那麼，通過將證書主題的證書存儲在它自己的證書存儲區中，並且（如果適用）使用包含在證書中的公鑰來加密會話密鑰以便所有與證書主題隨後進行的通訊都是安全的，試圖建立信任的實體就可以繼續進行信息交換，。
例如，使用 Internet 進行聯機銀行業務時，知道您的 Web 瀏覽器正在與銀行的 Web 伺服器直接和安全地通訊就是很重要的。在發生安全的交易之前，您的 Web 瀏覽器必須能夠簽定 Web 伺服器的身份。就是說，進行交易之前，Web 伺服器必須能夠向您的 Web 瀏覽器證明它的身份。Microsoft Internet Explorer 使用安全套接字層 (SSL) 來加密消息並在 Internet 上安全地傳輸它們，而大多數其他新式 Web 瀏覽器和 Web 伺服器也使用該技術。
當您使用啟用 SSL 的瀏覽器連接到聯機銀行的 Web 伺服器時，如果該伺服器擁有證書頒發機構（例如 Verisign）頒發的伺服器證書，那麼將發生如下事件：
您使用 Web 瀏覽器訪問銀行的安全聯機銀行登錄網頁。如果使用的是 Internet Explorer，一個鎖形圖標將出現在瀏覽器狀態欄的右下角，以表示瀏覽器連接到的是安全 Web 站點。其他瀏覽器以其他方式表示安全連接。
銀行的 Web 伺服器將伺服器證書自動地發送到您的 Web 瀏覽器。
為了驗證 Web 伺服器的身份，您的 Web 瀏覽器將檢查您計算機中的證書存儲區。如果向銀行頒發證書的證書頒發機構是可信任的，則交易可以繼續，並且將把銀行證書存儲在您的證書存儲區中。
要加密與銀行 Web 伺服器的所有通訊，您的 Web 瀏覽器可創建唯一的會話密鑰。您的 Web 瀏覽器用銀行 Web 伺服器證書來加密該會話密鑰，以便只有銀行 Web 伺服器可以讀取您的瀏覽器所發送的消息。（這些消息中的一部分將包含您的登錄名和密碼以及其他敏感信息，所以該等級的安全性是必需的。）
建立安全會話，並且在您的 Web 瀏覽器和銀行的 Web 伺服器之間以安全方式發送敏感信息。
詳細信息，請參閱證書安全性
當您將軟體代碼從 Internet 下載、從公司 intranet 上安裝、或者購買光碟並安裝在計算機上時，還可以用證書來確認在這些軟體代碼的真實性。無簽名軟體（沒有有效的軟體發布商證書的軟體）可以威脅到計算機和存儲在計算機上的信息。
如果用信任的證書頒發機構所頒發的有效證書對軟體進行了簽名，您就知道軟體代碼沒有被篡改，可以安全安裝在計算機上。在軟體安裝期間，系統會提示您確認是否信任軟體製造商（例如，Microsoft Corporation）。您還可以看到其他選項，問您是否始終信任來自特定軟體製造商的軟體內容。如果您選擇信任該製造商的內容，那麼他們的證書將存入您的證書存儲區，並且它們的其他軟體產品就可以在預定義的信任環境下安裝到您的計算機。在預定義信任的環境中，您可以安裝製造商的軟體，而不會被提示是否信任它們，因為您的計算機上的證書已聲明您信任該軟體的製造商。
與其他證書一樣，這些用來確認軟體真實性和軟體發布商身份的證書可還以用於其他目的。例如，如果把「證書」管理單元設置為按目的查看證書，則「代碼簽名」文件夾可能包含由 Microsoft Root Authority 頒發給 Microsoft Windows Hardware Compatibility 的證書。這個證書有三個目的：
確保軟體來自該軟體發布商
保護軟體在發布之後不發生改變
提供 Windows 硬體驅動程序確認

『玖』 ssh 服務端存儲有多個公鑰如何認證

ssh 服務端存儲有多個公鑰如何認證
<nav> 標簽定義導航鏈接的部分。
HTML5: <nav></nav>
HTML4:<ul></ul>
<output> 標簽定義不同類型的輸出，比如腳本的輸出。
HTML5: <output></output>
HTML4: <span></span>
<progress> 標簽運行中的進程。可以使用 <progress> 標簽來顯示 JavaScript 中耗費時間的函數的進程。
HTML5: <progress></progress>

『拾』 私鑰、公鑰、證書的區別和關系

私鑰是要求你輸入個人密碼才可訪問的，一般網上銀行之類可用到。
公鑰不要求設專置密碼，是已屬經默認了的，一般上一些安全性要求不高的網站或共享資源，如區域網。
證書是一種網站加密瀏覽方式，只有允許了才可訪問，一般為安全性較高的網站，如網上銀行；可以訪止黑客盜取客戶資料。