『壹』 如何:导出和导入公钥证书
此过程说明如何轻松设置加密示例。方法是从“我的证书”存储中导出公钥证书,而不导出私钥,然后将该公钥证书导入“通讯簿”证书存储。要设置以下示例,请先按照该示例主题中的设置说明操作。这些说明建议使用此主题中的步骤将一个或多个生成的公钥证书放入“通讯簿”证书存储。 如何:为一个收件人封装邮件 如何:为多个收件人封装邮件 如何:签名和封装邮件要在一台计算机上运行上面的示例,需要满足下列条件:“通讯簿”证书存储和“我的证书”存储中均包含邮件收件人的密钥证书该计算机上有邮件收件人的私钥且与“我的证书”存储中的公钥证书关联示例先充当加密邮件的发件人,然后充当同一个加密邮件的收件人。通常,这两个角色是由不同计算机上具有唯一公钥凭据的不同实体充当。在充当加密邮件的发件人时,示例要求“通讯簿”证书存储中包含收件人的证书。在充当加密邮件的收件人时,示例要求“我的证书”存储中包含收件人的证书,并且该计算机上包含相应的私钥。使用Makecert.exe 实用程序设置此示例,可以通过多种方法实现此目的。 Certificate Creation Tool (Makecert.exe) 是用于生成测试证书的一种很方便的实用程序。在生产环境中,证书由证书颁发机构生成。以下Makecert 命令生成所需的公钥证书以及证书使用者名称为“Recipient1”的实体的私钥。证书将放入“我的证书”存储。Makecert -n "CN=Recipient1" -ss My 以下过程说明如何设置证书存储来满足这些要求。首先,生成收件人的证书和私钥,并将证书存储在“我的证书”存储中。然后将证书从“我的证书”存储中导出,再导入“通讯簿”存储。从“我的证书”存储中导出公钥证书打开Internet Explorer。在“工具”菜单上,单击“Internet 选项”,然后单击“内容”选项卡。单击“证书”按钮。在“个人”选项卡中,选择“颁发给”下列出“Recipient1”的证书。(“个人”选项卡列出“我的证书”存储中的证书。)单击“导出”。(此时会打开导出向导。)单击“下一步”。 单击“否,不要导出私钥”,然后单击“下一步”。单击“下一步”接受默认导出格式。键入要导出的证书的文件名或浏览至该文件名,单击“下一步”,然后单击“完成”。将证书导入“通讯簿”证书存储在“证书”对话框中,单击“其他人”选项卡。(“其他人”选项卡列出“通讯簿”证书存储中的证书。)单击“导入”,然后单击“下一步”。键入要存储导出证书的文件名的位置或浏览至该位置,然后单击“下一步”。单击“下一步”接受将导入的证书放入“其他人”证书存储。单击“完成”,然后单击“确定”。
『贰』 为什么生成的RSA1024公钥是162个字节
因为你使用了getEncoded();方法进行了编码,getEncoded()是X509的编码格式。
『叁』 什么是公钥证书
所谓的公钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。
ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便,以下将使用这些符号。
Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥
在认证之前,客户端需要通过某种方法将公钥 Ac 登录到服务器上。
认证过程分为两个步骤。
会话密钥(session key)生成
客户端请求连接服务器,服务器将 As 发送给客户端。
服务器生成会话ID(session id),设为 p,发送给客户端。
客户端生成会话密钥(session key),设为 q,并计算 r = p xor q。
客户端将 r 用 As 进行加密,结果发送给服务器。
服务器用 Bs 进行解密,获得 r。
服务器进行 r xor p 的运算,获得 q。
至此服务器和客户端都知道了会话密钥q,以后的传输都将被 q 加密。
认证
服务器生成随机数 x,并用 Ac 加密后生成结果 S(x),发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x),q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x),两者相同则认证成功
『肆』 怎样根据已有的公钥和私钥生成数字证书
openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也回可以选用其他你认为安答全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施! 去除key文件口令的命令: openssl rsa -in server.key -out server.key!
『伍』 有了网银证书,公钥要自己生成吗如何生成。(java开发中)
一般公钥是网银网站的控件在用户机器上生成的,同时在用户机器上生成的还有私钥。
然后公钥发到网银,被作成证书,还到用户本地由网银控件或微软控件安装。
『陆』 ca如何产生公钥证书
CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
证书
证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。
加密:
我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。
解密:
我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。
如何在电子文档上实现签名的目的呢?我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:
信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。
在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些HASH函数的特殊要求是:
1.接受的输入报文数据没有长度限制;
2.对任何输入报文数据生成固定长度的摘要(数字指纹)输出;
3.从报文能方便地算出摘要;
4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;
5.难以生成两个不同的报文具有相同的摘要。
验证:
收方在收到信息后用如下的步骤验证您的签名:
1.使用自己的私钥将信息转为明文;
2.使用发信方的公钥从数字签名部分得到原摘要;
3.收方对您所发送的源信息进行hash运算,也产生一个摘要;
4.收方比较两个摘要,如果两者相同,则可以证明信息签名者的身份。
如果两摘要内容不符,会说明什么原因呢?
可能对摘要进行签名所用的私钥不是签名者的私钥,这就表明信息的签名者不可信;也可能收到的信息根本就不是签名者发送的信息,信息在传输过程中已经遭到破坏或篡改。
数字证书:
答: 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
使用数字证书能做什么?
数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。
认证、数字证书和PKI解决的几个问题?
保密性 - 只有收件人才能阅读信息。
认证性 - 确认信息发送者的身份。
完整性 - 信息在传递过程中不会被篡改。
不可抵赖性 - 发送者不能否认已发送的信息。
『柒』 win7系统中如何导出公钥
不是公钥是私钥,我们引述一段来自微软技术白皮书的文字:加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(FileEncryptionKey,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。
如果你登录到了域环境中,密钥的生成依赖于
域控制器,否则它就依赖于本地机器。备份:①:单击开始按钮,在搜索框中输入“certmgr。msc”,然后在“程序”列表中选择“certmgr。msc”选项。②:打开当前用户的证书窗口后,在左窗格展开“个人”/“证书”目录。
③:在右窗格中需要导出的证书上单击右键,选择“所有任务”|“导出”选项,然后在“欢迎使用证书导出向导”对话框中单击“下一步”按钮。④:出现“导出私钥”对话框后,选择是否导出私钥,如果要备份证书则导出私钥,如果想将证书发给他人使用则不必导出私钥,本例选择前者。
⑤:出现“导出文件格式”对话框后,选择要使用的证书文件格式,通常采用默认设置,直接单击“下一步”按钮。⑹:出现“密码”对话框后,输入并确认证书的密码,该密码在导入证书时需要使用。若步骤④中选择了不导出私钥,将不会出现该步骤。⑦:出现“要导出的文件”对话框后,单击“浏览”按钮,并在“另存为”对话框中设置证书的保存路径及名称。
⑧:在“正在完成证书导出向导”对话框中检查导出证书的信息,确认无误后,单击“完成”按钮,然后在弹出的对话框中单击“确定”按钮,完成证书的导出操作。
『捌』 SSL中,公钥,私钥,证书的后缀名都是些啥
SSL证书后缀
CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
KEY– 通常用来存放一个RSA 公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
CRT– CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。本站提供的CRT格式等同于CER,等同于PEM。
PEM – Privacy Enhanced Mail的缩写,以文本的方式进行存储。打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是编码. 查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.
CER– 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
DER – Distinguished Encoding Rules的缩写,以二进制方式进行存储,文件结构无法直接预览,查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows服务器偏向于使用这种编码格式.
PFX/P12 – predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个”提取密码”,你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
JKS – 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫”keytool”的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS。
『玖』 java使用keytool生成证书的时候怎们样设置公钥和私钥还有keystore密码是什么
1.私钥公钥不是用户自己输入的,是RSA算法自动生成的,而你输入的密码只是打开那个文件或生成的证书的密码.
2.密码为“changeit”,而如果尝试几次都不成功的话,就到$JAVA_HOME\jre\lib\security\目录下去配就可以了
『拾』 怎样根据已有的公钥和私钥生成数字证书
openssl genrsa -des3 -out server.key 1024
运行时来会提示输入密码,此密码用源于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key!